MRU-List
Die MRU-List (engl. Most Recently Used List) ist eine unter Mircosoft Windows automatisch angelegte Liste von aufgerufenen bzw. geöffneten Dateien, Ordnern und Anwendungen. In der Forensik sind diese Informationen von hohem Wert, da so auf das Verhalten des Nutzers geschlossen werden kann bzw. das Öffnen einer Datei oder die Nutzung einer Anwendung sicher dokumentiert ist. So gibt die MRU List meist einen guten Hinweis wo auf dem PC sich die gesuchten Hinweise befinden.
Speicherort der MRU-List
Die MRU-List wird als Windows Registry angelegt und in der Datei NTUSER.DAT im Home-Verzeichnis des Users, z.B. C:\Users\Peter\NTUSER.DAT, gespeichert. Diese Datei ist als versteckt markiert. In der Registry-Struktur sind die Informationen unter folgendem Pfad zu finden:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\
Die Informationen über die letzten Zugriffe sind in Unterordner des oben angegeben Pfads gegliedert, siehe Tabelle.
| Unterordner | Art der Information |
|---|---|
| RecentDocs | zuletzt geöffnete Dateien |
| ComDlg32 | Dateien und Ordner die mit dem Standard Windowsanwendungsdialog zum Öffnen oder Speichern ausgewählt wurden |
| RunMRU | Anwendungen die mit Windows "Ausführen" gestartet wurden |
Die in der Registry enthalten Werte werden im REG\_BINARY-Format gespeichert. Um diese lesbar zumachen müssen diese zunächst entsprechend der ASCII-Tabelle übersetzt werden. Es empfiehlt sich ein Forensiktool zu verwenden, welches diese Aufgabe übernimmt und die MRU lesbar präsentiert.
Quellen
- https://www.magnetforensics.com/blog/what-is-mru-most-recently-used/}{https://www.magnetforensics.com/blog/what-is-mru-most-recently-used/
- https://forensic4cast.com/2019/03/the-recentdocs-key-in-windows-10/}{https://forensic4cast.com/2019/03/the-recentdocs-key-in-windows-10/
- https://www.researchgate.net/profile/Pavel-Gladyshev/publication/221352819_Temporal_Analysis_of_Windows_MRU_Registry_Keys/links/54d36b1b0cf2b0c6146d80f8/Temporal-Analysis-of-Windows-MRU-Registry-Keys.pdf
