Jump List Analizi
Windows 7 ve daha sonraki tüm Windows sistemlerde sunulan bir özellik olan Jump List, kullanıcı tarafından daha önce erişilen, uygulama ve dosyaları listeler. Bu özellik sayesinde kullanıcıların son erişilen uygulama dosyalarına hızlı erişim sağlanması için Microsoft tarafından oluşturulmuştur. Jump List dosyalar erişilen dosyalar hakkında bilgi içermektedir.
Windows “AutomatıcDestınatıons” ve “CustomDestınatıons” olmak üzere iki farklı Jump List oluşturmaktadır.
AutomatıcDestınatıons: Kullanıcılar bir dosya veya uygulama açtığında otomatik oluşturulan Jump List’lerdir.
C:Users<username>AppDataRoamingMicrosoftWindowsRecentAutomticdestinastion
Lokasyonunda bulunmaktadırlar.
CustomDestınatoıns: Kullanıcılar bir dosyayı ya bir uygulamayı sabitlediğinde (pinlediğinde) oluşturulan özel jumplistlerdir.
C:Users<username>AppDataRoamingMicrosoftWindowsRecentCustomDestinations
Lokasyonunda bulunurlar.
Forensics bakış açısı ile tutulan dosyaları analiz sırasında önemli bir kanıtlayıcı bilgi kaynağı olarak kullanılmaktadır. Jump List analizinde; kullanıcıların dosya oluşturma, erişim ve değişiklik gibi sistemdeki geçmiş hareketlerini tespit edebiliriz. Jump Listeleri değerli kılan bir diğer özelliği ise sistemde silinen dosyaların bile jumplist kaydının tutuluyor olmasıdır.
Jump List Analizi
Dosyalar elde edildikten sonra, bulunan dosyaların analizini gerçekleştirmek için, JLECmd, JumpList Explorer, Windows Jump List Parser, JumpListView araçlarından herhangi birini kullanabiliriz. Benim favori araçlarımdan olan JLECmd ve JumpListView araçlarının kullanımından bahedeceğim.
JLECmd kullanmak için administarot bir cmd açarak JLEcmd.exe yazıp enterlıyoruz.
Görüldüğü gibi tool hakkında genel bilgiler vermektedir.
Daha sonra
JLECmd.exe -d “C:UsersMAAppDataRoamingMicrosoftWindowsRecent” –csv “E:BelgelerDesktopNew folder”
Komutunu yazıp enterlıyoruz.
-d elde edilen jumplist dosyalarının konumu
–csv parse işlemi sonucunda çıktının kaydedileceği dosya konumu
Yazdıktan sonra parse işlemini gerçekleştirerek bize bir csv dosyası sunmaktadır. csv dosyasından belirli bir zaman aralığında veya yaşanan olay hakkında gerekli analiz işlemleri gerçekleştirilebilir.
Bir diğer favori aracım olan JumplistView aracı, Nirsoft tarafından oluşturulan bir araçtır. JumpListsView herhangi bir kurulum işlemi veya ek dll dosyaları gerektirmez. Kullanmaya başlamak için, exe dosyasını çift tıklamamız yeterlidir. JumpListsView.exe’yi çalıştırdıktan sonra, sisteminizdeki JumpListeleri tarar ve bilgileri ana pencerede görüntüler. Bir veya daha fazla öğe seçebilir ve ardından bunları xml/html/csv/tab ile ayrılmış dosyaya aktarabilirsiniz. Ayrıca seçili öğeleri panoya (CTRL+C) kopyalayabilir ve verileri Excel’e veya başka bir elektronik tablo uygulamasına yapıştırabilirsiniz.