بررسی فایل های باز شده / مشاهده شده اخیر
بطور ساده می خواهیم با استفاده از اطلاعات موجود در سیستم عامل ویندوز آخرین فایل هایی که باز شده اند و یا مشاهده شده اند را تشخیص داده و آنها را برای بررسی ادله الکترونیک ذخیره و مستندسازی کنیم.
با استفاده از این اطلاعات می تواتیم به تاریخچه ای از عملکرد در مرورگرهای وب و همچنین نرم افزارهای کاربردی موجود در سیستم پی ببریم. البته علاوه بر موارد گفته شده معمولا در بررسی ها نکته ای اط قلم می افتد که در مورد تاریخچه مربوط به Auto Complete در پنجره مربوط به باز کردن فایل ها می باشد که بدان نیز اشاره خواهیم کرد.
OpenSaveMRU
در شکل زیر پنجره باز کردن فایل به همراه قابلیت AutoComplete نشان داده شده است :
اطلاعات مربوط به این عملکرد این پنجره در فایل رجیستری و در آدرس زیر قرار دارد :
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDIg32\OpenSaveMRU
نام پوشه اصلی در سیستم عامل Win7/Vista عبارت زیر می باشد:
OpenSavePidlMRU
که در آن زیر پوشه های متعدد به همراه مقادیر مربوط به آنها قرار دارد . در مقادیر ذخیره شده در پوشه های مورد نظر فقط اسامی فایل ها بدون درج پسوند مربوط به آنها قرار دارند چون در زمان باز کردن فایل تنها نام آن ذکر می شود و در این موقع است که سیستم عامل با استفاده از قابلیت AutoComplete بر حسب پسوند انتخاب شده گزینه های های موجود را نشان می دهد که اگر در فایل رجیستری در کلید مربوط بهAutoComplete را بررسی کنیم می توانیم تا حد زیادی به پسوند فایل های مورد نظر نیز پی ببریم. البته این بخش نیز تنها اطلاعات مربوط به AutoComplete یعنی آنچه که توسط کاربر وارد می شود ذخیره می گردد و نام کامل فایل نیز در این پوشه ثبت نمی شود.
در این پوشه ممکن است که مقادیر زیادی ثبت شده باشند که تنها موارد معدودی از آنها شامل اطلاعات کامل مربوط به فایل مورد نظر باشد در هر پوشه می توان یک زیر پوشه با نام '*' مشاهده کرد که در آن 10 مورد اخیر از عبارات واردشده برای فایل مورد نظر در پنجره باز گردن فایل ذخیره می شود که این تعداد در سیستم عامل ویندوز Win7/Vista به 20 عدد افزایش یافته است و به جای استفاده از کاراکتر '*' از معادل دودویی آن استفاده شده است.
LastVisitedMRU
استفاده از اطلاعات این کلید اندکی ساده تر بوده ولی برخی موارد بدرستی مورد استفاده قرار نمی گیرد. محل قرار گیره پوشه اطلاعات مربوط به این کلید در آدرس زیر قرار دارد :
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDIg32\LastVisitedMRU
که این مسیر مربوط به پوشه ای با نام LastVisitedPidlMRU می باشذ که در سیستم عامل Win7/Vista در نظر گرفته شده است .
در این کلید اطلاعات مربوط به فراخوانی فایل ها توسط برنامه های اجرایی مربوط به نرم افزارهای کاربردی ذخیره می گرددو فایل هایی ثبت شده آنهایی می باشند که اطلاعات شان در کلید مربوط به OpenSavePidlMRU درج شده باشد. علاوه بر آن اطلاعات مربوط به مسیر دسترسی به فایل مورد نظر نیز ثبت و نگهداری می شود.
اطلاعات ثبت شده در این پوشه ها و زیر پوشه ها بصورت دودویی بوده و برای استفاده از آنها می بایست از یک ویرایشگر مبنای دو استفاده کنیم. در شکل های زیر محل و نام پوشه ها و همچنین مقادیر موجود در آنها نشان داده شده است :
