Volume Shadow Copy Services (VSS) Analizi

Volume Shadow Copy Services (VSS) Analizi

   Haziran 30, 2022       Muhammed AYGÜN

---

Volume Shadow Copy Services (VSS) Analizi

Volume Shadow Copy, Microsoft tarafından, Windows işletim sistemlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesine imkan tanıyan bir Windows özelliğidir. Forensics bakış açısı ile bu özelliğe bakacak olursak, anti-forensics tekniklerini kullanılmış olsa bile oldukça önemli ve geçmişte yazılmış bilgileri, artifackleri, silinen veya değiştirilen dosyaları bulmamıza olanak sağlayacaktır.

 

Volume Shadow Copy, Microsoft tarafından, Windows Vista ve sonraki işletim sistemi sürümlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesini sağlayan bir Windows özelliğidir. (Snapshot, kısa süreli çalışmalar öncesinde alınan bir backup türüdür bu sayede belirtilen zamana göre makineyi geri döndürebiliriz.) Volume Shadow Copy özelliği aktif edilebilmesi için NTFS bir volüme sahip olmak gerekir. Shadow Copy ile alınan içerikler read only özelliğine sahiptir yani volüme shaodw Copy ile alınan dosya ve klasörler değiştirilemez. Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Bundan dolayı Windows default diskin yaklaşık %15’ini Volume Shadow kısmına ayırır. Ayrılan alan doldurulduğunda eski volüme shadow copy silinmektedir.

 

 

 

 

Volume Shadow Copy Analizi,

Bu Windows özelliği önceki Windows sisteme geri dönmesine olanak tanır. Bu özellik sayesinde Adli Bilişim incelemeleri açısından bu özellik oldukça önemli ve geçmişte yazılmış bilgileri, registry keyleri, silinen veya değiştirilen dosyaları bulmak için faydalı olacaktır. Çokça kullanılan anti-forenscis tekniklerinden biri olan dosya veya klasörü wipe etme olduğunu biliyoruz kullanıcı wipe etmiş olsa bile Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Shadow Copy analizinde wipe edilen dosya veya klasör volüme shadow copy bulunabilir. VSS kullanılarak Registry keyler, dosyalar, log dosyaları gibi kritik bilgiler kurtarılabilir.

Prodiscover Forensics veya Microsoft sistem toolları olan vssadmin, mklink gibi araçlar kullanılarak Volume Shadows Copy dosyalarına erişebilir ve analiz işlemi gerçekleştirilebilir.

“vssadmin list shadows” komutu ile tüm shadow Copyler listelenir.

 

vssadmin list shadows /for=c:

komutu ile c sürücüsü üzerinde volumeshadows copyleri listeler

 

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\system32\config\SYSTEM E:\Belgeler\Desktop

bu komut ile 4/25/2022 12:12:30 PM Creation ed’len  VolumeShadowCopy4 içerisinde bulunan SYSTEM hive dosyasını alabiliriz. Çeşitli toollar ile analizi gerçekleştirebiliriz.

 

 Eğer tüm volumeshodws copy almak istiyorsak mklink aracını kullanmamız gerekecektir bu araç Windows sistemlerde default olarak gelmektedir. mklink ile sembolik veya sabit bağlantı bir dizin veya dosya oluşturulabilir. [1]

Parametreler :

/D = Yerel ve Ağ üzerindeki bir dizin için sembolik link oluşturur. Mklink ’de herhangi parametre girmezseniz default olarak bu parametreyle işlem yapacaktır.

/J = Yerel bağlantı oluşturur. Yani bu komutla yapacağınız bağlantıları sadece yerel olarak olarak kullanabilirsiniz.

/H = Doğrudan dizin yerine dosyaya odaklı bir bağlantı oluşturur.

 

mklink ile shadows copyleri görmek için;

mklink /d shadows3 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\

komutunu çalıştırabiliriz.

 

Görüldüğü gibi commadline bulunana dizin üzerine shadows copy mizi oluşturduk.

Silinmiş dosya registry gibi dosyalarımızı buradan rahatlıkla görebiliriz.

Burada alınan shadow copyleri daha önceki blog yazılarımda anlattığım gibi istediğimiz artifacklerin analizlerini gerçekleştirebiliriz.

 

Read More

Takılan USB Kayıtlarının Analizi (USB Drive Forensics)

Takılan USB Kayıtlarının Analizi (USB Drive Forensics)

   Haziran 05, 2022       Muhammed AYGÜN

---

Takılan USB Kayıtlarının Analizi (USB Drive Forensics) 

Universal Serial Bus (USB), 1996 yılından beri mouse, yazıcı gibi aygıtların bağlantılarını tek tip hale getirilmesi ve veri akışının daha hızlı yapılabilmesi amacıyla geliştirilmiştir. Bu bağlamda USB girişleri temel olarak dış donanımların bilgisayar ile bağlantı kurmasında görev almaktadır.

Kişisel verilerin artması ile beraberinde verilerin taşınma gereksinimi oluşmuştur, Bu gereksinimi karşılamak adına usb bellekler kullanımına ihtiyaç duyulmuştur. USB bellek ile veri taşıma kopyalama gibi kullanıcı veri depolama üniteleri olarak günümüzde sıkça kullanılan bir bilişim bileşenidir. USB bellek elektrik gücü kesildiğinde bile veri saklamaya devam edebilen, sakladığı verinin elektronik ortamda silinip yeniden tekrar yazılmasına imkan veren depolama aygıtlarıdır.

USB belleklerde; 1 adet ground (topraklama), 1 adet power ve 2 adette veri olmak üzere 4 girişi bulunur.

Figure 1(https://consumersforinternetcompetition.com/article/1985-anatomy-ssd/?utm_referrer=https%3A%2F%2Fwww.google.com%2F)

USB Dış kılıfını çıkardığımız zaman anatomik görünümü bu şekildedir.

 

 

Biz siber güvenlik tarafından olaya bakacak olursak bu depolama aygıtları yani USB bellekler kullanılarak, siber saldırganlar sistemlere trojan, keylogger, sniffer gibi zararlı yazılım bulaştırmak yaymak için kullanılan popüler bir bileşendir. Kimi zaman ise kötü niyetli bir kullanıcı bilgisayar üzerinden izni olmaksınız gizli verileri kopyalayıp dışarı aktarma gerçekleştirerek veri ihlali olay yaşatabilir. Tabi bu şekilde sistemin erişim, bütünlüğünü ve gizliliğini ihlal etme riskine sahip olan USB bellek cihazların Windows bir sisteme takılıp takılmadığını takılmış ise seri numarasını, zaman damgalarını tespit etmek için kullanılan forensics tekniklerinden bahsedeceğim.

 

Takılan USB Tespiti

Windows bir sistem üzerinde forensics tekniklerini kullanarak sisteme takılan USB bellek için, aygıt adı, açıklaması, aygıt türü, seri numarası, aygıtın eklendiği tarih/saat, satıcı kimliği, ürün kimliği gibi değerli bilgileri elde edebiliriz.

Windows makinesindeki USB artifacklerini  tespit etmek için manuel ve otomatik yöntemleri kullanabiliriz. Bu artifacklerin bulunmuş olduğu konumuna gidip analiz gerçekleştirebiliriz ya da yardımcı bir tool ile bu dosya konumlarına tek tek gitmeden analizi gerçekleştirebiliriz.

Bir USB aygıtı Windows makineye takıldığından oluşturmuş olduğu artifackler;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Takılan USB aygıtların; Vendor, Product, Version, Device S/N, USB satıcısı, ürün adı, seri numarası, sürüm adı gibi detayları görebiliriz.

PowerShell script yardımıyla da görebilmemiz mümkündür;

Get-ItemProperty -Path HKLM:\SYStem\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB

Bu konum Vid, Pid ve (Enum\USB VIDPID DateTime) bilgilerini alır.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices

Bu konum, Volume name, Sürücü Harfi ve Birim Adını alır

 

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

Bu konum Drive Letter, Guid ve MountPoint'i alır

 

HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 (NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2)

Bu konum, Son Bağlanma Zamanını (MountPoints2 Tarih/Saat) alır

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EMDMgmt

Bu konum, Ready Boost ile ilgili bilgileri alır (win4n6 posta listesinden not edilmiştir)

 

SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\00000064\00000000\Data

İlk bağlantı değeri alır

 

SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\00000065\00000000\Data

İlk bağlantı değeri alır

 

SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\0066

Son bağlantı değerini tutar.

 

SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_yyyy\xxxxx\Properties\{83da6326-97a6-4088-9453-a1923f573b29}\0067

USB aygıtı için sürücünün "Son Kaldırma Tarihi" değeri alır.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

Bu konum (DeviceClasses tarih/saatini) alır.

 

C:\Windows\setupapi.log

Bu dosya Kurulum Tarihi/Saatini alır.

 

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache

·         C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx (Windows 7)

·         C:\Windows\System32\winevt\Logs\Microsoft-Windows-Storage-ClassPnP/Operational.evtx

·         C:\Windows\System32\winevt\Logs\Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx

·         C:\Windows\System32\winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx

·         C:\Windows\System32\winevt\Logs\Microsoft-Windows-Ntfs%4Operational.evtx

·         C:\Windows\INF\setupapi.dev.log

·         C:\Windows\INF\ setupapi.dev.yyyymmdd_hhmmss.log

·          “Windows.old” folder

·         Volume Shadow Copies

·         C:\Users\<user account>\AppData\Roaming\Microsoft\ Windows\ Recent\ <Lnk files>

 

USB analizinde . SYSTEM, SOFTWARE, NTUSER.dat, UsrClass.dat, setupapi.log dosyalarında bulunan, artifacklerin konuma gidip analizimizi gerçekleştirebiliriz. Bu artifackler dosyalarını elde etmek için ya diskin imajını ya da FTK Imager gibi yardımcı tool ile elde etmiş olduğumuz triyaj verilerini almamız gerekmektedir

Manuel bir şekilde gidip Registry hive dosyalarını analiz etmek için Registry Explorer aracını kullanabiliriz.

Hiç artifakin yolluyla uğramadan otomatik analiz etmek için yardımcı toollar kullanmamız gerekmektedir. Yardımcı toollara örnek olarak, Usb Forensics Tracker, Usbdeviex, Usb Devices Wiew gibi araçlar örnek verilebilir.  

 

Örnek senaryo ile olayın uygulamalı analiz kısmını YouTube video şeklinde nasıl çözüldüğüne bakabilirsiniz. 

https://www.youtube.com/watch?v=KcAcLiwTVwg&t=76s;

ABC ilaç firmasında kimya mühendisi olarak görev yapan Muhammed işten çıkarılacağını bilmektedir bundan dolayı ABC ilaç firmasına ait özel ilaç formüllerini dışarı çıkarmayı hedeflemiştir. Muhammed’in elinde bulunan usb cihaza şirketin vermiş olduğu Windows bir sisteme sahip olan bilgisayara takmış ve veri içerisine kopyalamıştır. İş çıkışı tam çıkarken güvenlik kontrolüne yakalanmış çantasında bulunan usb bellek sorulmuştur.  Kimya Mühendisi Muhammed savunma olarak usb belleği çantada unuttuğu şirkette hiçbir şekilde kullanmadığı bilgisayara takmadığını iddia etmiştir.

ABC ilaç firmasının 22.05.2022 tarihinde SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması için bilgisayara el adli analizin gerçekleştirilmesi için bizlere iletmiştir.

Gerekli Adli Bilişim prosedürleri uygulandıktan sonra elde edilen bilgisayar üzerinden triyaj verileri alındı.

Manuel Analiz ile 22.05.2022 tarihinde SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması

Manuel analiz etmek için Registry Explorer isimli aracı kullanacağım.

 

Yardımcı Tool ile 22.05.2022 tarihinde SanDisk marka bir usb belleğin kullanılıp kullanılmadığının ispatının yapılması

Yardımcı toollara örnek olarak, Usb Forensics Tracker toolunu vermiştim bu tool benim kullanmış olduğum güzel bir araç. Bu araç sayesinde manuel gitmekten ziyade otomatik olarak bilgileri getirmeyi sağlar.

 

 

 

 

 

Kaynak:

[1] http://itm.iit.edu/netsecure11/PhilipPolstra_USBForensics.pdf

[2] https://www.hackingarticles.in/usb-forensics-detection-investigation/

[3] http://www.orionforensics.com/forensics-tools/usb-forensic-tracker/

[4]https://www.researchgate.net/publication/318514858_USB_Storage_Device_Forensics_for_Windows_10

Read More

Prefetch Analizi

Prefetch Analizi

   Haziran 01, 2022       Muhammed AYGÜN

---

 

Prefetch Dosya Analizi

Microsoft tarafından Windows sistemlerde uygulamaları daha hızlı başlatmak adına çalıştırılan her uygulama için Preftech dosyası oluşturmaktadır. Böylelikle sistemleri daha hızlı hale getirmek amaçlanmıştır. Yani Prefetch, sistemde sık kullanılan ve erişilen verileri kullanıcı için daha hızlı hale getirmek için önbelleğe alarak kullanıcı deneyimini iyileştirmeyi amaçlamıştır. Preftech dosyaları ister GUI ve CLI olsun sistemde çalıştığında otomatik bir şekilde oluşmaktadır. Preftech dosyaları *.pf dosya uzantısına sahiptir. Preftech dosyaları, dosya adı, dosya yolu, programın kaç kez çalıştırıldığı, programın son çalıştırılma zamanı, program tarafından kullanılan DLL’lerin listesi gibi bilgileri içinde tutar.

Preftech dosyaları belirli bir kullanıcıya bağlı değildir. Aynı çalışan dosya farklı konumlarda çalışmış ise iki farklı preftech dosyası oluşmaktadır. Preftech dosyaları devre dışı bırakılabilir.

Preftech dosyaları;

C:\Windows\Prefetch  %windir%\Prefetch

konumunda bulunur.

 

 

 

 

 

Preftech Dosya Analizi Nasıl Yapılır?

Forensics bakış açısı ile İşletim sistemlerine performans açısından katkı sağlayan bu özellik, adli analiz sırasında da büyük faydalar sağlamaktadır. preftech dosyaları, dosya adı, dosya yolu, programın kaç kez çalıştırıldığı, programın son çalıştırılma zamanı, program tarafından kullanılan DLL’lerin listesi gibi bilgileri içinde tutuğu için analiz sırasında çok değerli bir kaynaktır.

Preftech dosyalarını analiz etmeden önce dosyaları elde etmemiz gerekmektedir. Preftech dosyaları lokasyonunda dosyalar kopyalanır daha sonra WinPrefetchView ve PECmd gibi toolar kullanılabilir.

Benim favori araçlarımdan olan PECmd kullanımına bahsedeceğim.

PECmd yazıp enter tuşuna basıyoruz. Tool hakkında bilgi ve kullanımı parametrelerini görebiliyoruz.

PECmd.exe -d "E:\Belgeler\Desktop\Prefetch" --csv "E:\Belgeler\Desktop\Prefetch" --csvf out.csv

Komutunu yazıp enterlıyoruz.

-d: prefetch dosyalarının bulunduğu dizin

--csv: parse işleminin çıktısı

--csvf: çıktıya verilen isim

 

Komutunu yazdıktan sonra parse işlemi başarılı bir şekilde gerçekleştirilmektedir.

Parse işlemi tamamlandıktan sonra karşımıza 2 csv dosyası çıkmaktadır.

Biri adından anlaşılacağı üzere Timeline sıralı olarak yani zaman sırası olarak karşımıza çıkmaktadır.

Prefetch dosyalarını analiz ederken önemli bir nokta ise, oluşturma tarihi uygulamanın ilk çalıştırıldığı (create date) zamanı gösterir son değiştirilme (modified) tarihi ise uygulamanın en son çakıştırıldığı zamanı gösterir.

 

 

 

 

Read More

SRUM (System Resource Usage Monitor) Analizi

SRUM (System Resource Usage Monitor) Analizi

   Mayıs 23, 2022       Muhammed AYGÜN

---

 

SRUM (System Resource Usage Monitor) Analizi

Windows System Resource Usage Monitor –Windows Sistem Kaynak Kullanım Monitörü- olarak bilinen SRUM makinede tüketilen kaynakları izlemek için oluşturulmuştur. SRUM sistemde uygulamanın kaynak kullanımı enerji kullanımı, Windows anlık bildirimleri, ağ bağlantısı, veri kullanımı olmak üzere 30 ila 60 günlük sistem kaynağı kullanımını SRUDB.dat  dosyasına kaydeder. Bu özellik Windows sistemlerde varsayılan olarak etkindir ve sistemde başlangıcında otomatik olarak başlayacak şekilde yapılandırılmıştır.  Srudat.db dosyasına veriler sistem kapatıldıktan sonra yazılır. Windows 8 ve daha sonraki tüm Windows sistemlerde getirilen özelliklerdir. Task manager kısmında App history sekmesi aracılığıyla kullanıcıya sunulur, ancak bu bilgiler anlık olarak değişmektedir. Srudat.db dosyasında ise daha çok sayıda bilgi içerir.

 

SRUM hakkında bilgiler Srudb.dat dosyasında bulunur. Srudb.dat dosyası verileri  “HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions” ve “%SystemDrive%\Windows\System32\sru\SRUDB.dat” olmak üzere iki konumda kaydeder.

 

 

Registry key de kaydedilen veriler geçici verilerdir ve periyodik olarak %systemroot%\Windows\System32\sru\ konumunda bulunan SRUDB.dat dosyasına kaydedilir. Srudb.dat dosyası, ESE (Extensible Storage Engine) database formatındadır. Bu database dosyası, belirli bir sistemde meydana gelen tüm aktivitileri kaydeden birden çok tablo içerir.

 

 

SRUM Analizi:

Forensics bakış açısı ile Windows sisteminde meydana gelen Application Resource Usage, Network Connetctions, Network Usage, Push Notification Data, Energey Usage aktiviteleri içerdiğinden adli analiz aşamasında sistemde silinmiş olsa bile zararlı uygulamanın isimi, uygulamanın yolu, uygulamayı kullanan hesabın bilgisi gibi değerli bilgileri sunmaktadır. SRUM içerisinde barındırdığı bilgilerden dolayı adli bilişim ve olay müdahalesi vakalarında son derece yararlı bilgiler sağlar. SRUM program yürütmelerinin, güç tüketimini, network bağlantı aktivitelerine sebep olan ana prosesi kaydeder. Bu tür bilgiler adli analizi gerçekleştiren kişinin sistemde önceki faaliyetler ve olaylar hakkında bilgi edinmesini sağlar.

 

Sudb.dat dosyası manuel bir şekilde kopyalanamaz, FTK Imager, Kape, Raw Data Copy gibi toollaar yardımıyla kopyalama işlemi gerçekleştirilebilir.

Sıkça kullandığım araç olan FTK Imager ile srudb.dat dosyasını export alacağım. Srudb.dat dosyası ve SYSTEM hive dosyaların konuma gidip sağ tıkladıktan sonra istediğimiz dizine export işlemi gerçekleştirebiliriz.

 

 

Elde edilen srudb.dat dosyasını srum-dump, SrumECmd gibi toollar yardımıyla analiz edilebilir. Ben favori toollarımdan olan drum-dump ile nasıl analiz gerçekleştirildiği blog yazımda göstereceğim.

MarkBaggett tarafından oluşturulan ücretsiz bir araçtır Github üzerinden ücretsiz bir şekilde indirip kullanabilirsiniz.

GUI kullanıma sahip olan srum-dump çift tıklayarak çalıştırabiliriz.

Çift tıkladıktan sonra karşımıza bu şekilde bir ekran gelmektedir.

Sırasıyla;

1.      Elde etmiş olduğumuz Srudb.dat dosyasının 

2.      SRUM parse edildilkten sonra oluşacak excel dosyasının konumunu (Github downlonad sayfasından elden edebilirsiniz https://github.com/MarkBaggett/srum-dump)

3.      SRUM parse edilmesi için excel tamplet formatı

4.      SOFTRWARE HİVE dosyasını (isteğe bağlı olarak, SOFTWARE hive dosyası eklenebilir eklendiği zaman, uygulamalar tarafından hangi ağların hedef sıralamasını görebiliriz. )

 

Dosya konumlarını verdikten sonra ok deyip parse işlemlerini gerçekleştiriyoruz

 

 

 

 

 

 

 

 

 

 

 

Ortaya çıkan XLSX dosyasının alt kısmında birden çok sekme bulunur. Her sekme faydalı bilgilerle tespit edebiliriz.  

 

 

 

 

 

 

Kaynak:

[1] https://isc.sans.edu/forums/diary/System+Resource+Utilization+Monitor/21927/

Read More

Jump List Analizi

Jump List Analizi

   Mayıs 15, 2022       Muhammed AYGÜN

---

 

Jump List Analizi

 

Windows 7 ve daha sonraki tüm Windows sistemlerde sunulan bir özellik olan Jump List, kullanıcı tarafından daha önce erişilen, uygulama ve dosyaları listeler. Bu özellik sayesinde kullanıcıların son erişilen uygulama dosyalarına hızlı erişim sağlanması için Microsoft tarafından oluşturulmuştur. Jump List dosyalar erişilen dosyalar hakkında bilgi içermektedir.

Windows “AutomatıcDestınatıons” ve “CustomDestınatıons” olmak üzere iki farklı Jump List oluşturmaktadır.

AutomatıcDestınatıons: Kullanıcılar bir dosya veya uygulama açtığında otomatik oluşturulan Jump List’lerdir.

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\Automticdestinastion

Lokasyonunda bulunmaktadırlar.

CustomDestınatoıns: Kullanıcılar bir dosyayı ya bir uygulamayı sabitlediğinde (pinlediğinde) oluşturulan özel jumplistlerdir.

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Lokasyonunda bulunurlar.

Forensics bakış açısı ile tutulan dosyaları analiz sırasında önemli bir kanıtlayıcı bilgi kaynağı olarak kullanılmaktadır. Jump List analizinde; kullanıcıların dosya oluşturma, erişim ve değişiklik gibi sistemdeki geçmiş hareketlerini tespit edebiliriz. Jump Listeleri değerli kılan bir diğer özelliği ise sistemde silinen dosyaların bile jumplist kaydının tutuluyor olmasıdır. 

 

Jump List Analizi

Dosyalar elde edildikten sonra, bulunan dosyaların analizini gerçekleştirmek için, JLECmd, JumpList Explorer, Windows Jump List Parser, JumpListView araçlarından herhangi birini kullanabiliriz.  Benim favori araçlarımdan olan JLECmd ve JumpListView araçlarının kullanımından bahedeceğim.

JLECmd kullanmak için administarot bir cmd açarak JLEcmd.exe yazıp enterlıyoruz.

 

 

Görüldüğü gibi tool hakkında genel bilgiler vermektedir.

Daha sonra

JLECmd.exe -d "C:\Users\MA\AppData\Roaming\Microsoft\Windows\Recent\" --csv "E:\Belgeler\Desktop\New folder"

Komutunu yazıp enterlıyoruz.

-d elde edilen jumplist dosyalarının konumu

--csv parse işlemi sonucunda çıktının kaydedileceği dosya konumu

Yazdıktan sonra parse işlemini gerçekleştirerek bize bir csv dosyası sunmaktadır. csv dosyasından belirli bir zaman aralığında veya yaşanan olay hakkında gerekli analiz işlemleri gerçekleştirilebilir.

 

Bir diğer favori aracım olan JumplistView aracı, Nirsoft tarafından oluşturulan bir araçtır. JumpListsView herhangi bir kurulum işlemi veya ek dll dosyaları gerektirmez. Kullanmaya başlamak için, exe dosyasını çift tıklamamız yeterlidir. JumpListsView.exe'yi çalıştırdıktan sonra, sisteminizdeki JumpListeleri tarar ve bilgileri ana pencerede görüntüler. Bir veya daha fazla öğe seçebilir ve ardından bunları xml/html/csv/tab ile ayrılmış dosyaya aktarabilirsiniz. Ayrıca seçili öğeleri panoya (CTRL+C) kopyalayabilir ve verileri Excel'e veya başka bir elektronik tablo uygulamasına yapıştırabilirsiniz. 

 

Read More