ShellBag Analizi

ShellBag Analizi

    Microsoft Windows Explorer aracılığıyla, görüntülediğinde bir klasör penceresinin görünümlerini, boyutlarını ve konumlarını izlemeye yardımcı olur buna ağ klasörleri ve çıkarılabilir cihazlar dahildir. Yani Windows ekranını başka bir yere taşıdığımızda, boyutunu değiştirdiğimizde, içindeki dosya sıralamasını yaptıktan sonra bir daha hatırlamasında Shellbag yardımcı olur. Belirli bir klasörün penceresinin konumu, görünümü veya boyutunun adli analiz için neden önemli olduğu kafamızda soru işareti olarak kalabilir. Bu özellikler bir analiz için fazla değerli olmasa da, Windows bu özellikleri registry saklarken bir dizi ek yapı oluşturur ve analizi gerçekleştiren kişiye klasöre şüphelini göz atma geçmişine ve herhangi bir klasöre ilişkin ayrıntılara ilişkin ayrıntılı bilgi verir. Shellbag analizi sayesinde, Silinmiş klasörlerin bilgisini bulabiliriz. Kullanıcının hangi klasörle eriştiğini, Klasörlere ait zaman damgalarının bilgisine, ulaşabiliriz.

ShellBag’ler, Windows explorer kullandığınızda klasörlerin boyutunu, simgesini, görünümünü ve konumunu kaydetmek ve depolamak için Windows’un kullandığı bir kayıt defteri anahtarı biçimidir.

Bir kullanıcı klasör görünümünde simgeler ayarlarını büyük simge yaparsa, ayrıntıları değiştirirse, ayarların ShellBag’de depolanacağı anlamına gelir. Bir kullanıcı, Windows grafik arabirimindeki klasörlerin görünüm modunu veya konumunu değiştirdiğinde, Windows, “ShelBags” olarak bilinen Windows Kayıt Defteri anahtarlarındaki bilgileri hatırladığından, yeni görünüm kullanılabilir durumda kalır. Windows explorer’da kullanımı genellikle yalnızca yerel makinedeki klasörleri değil, aynı zamanda ağdaki veya USB diskler veya flash sürücüler gibi çıkarılabilir aygıtlardaki klasörleri de içeren veritabanlarına kaydedilir yani silindikten sonra bile dizinler hakkındaki bilgileri koruyan bu ShellBag’lerdir.

Shellbags artifacklerin lokasyonu;

(HKEY_CURRENT_USER) NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU

NTUSER.DATSoftwareMicrosoftWindowsShellBags

Shellbags artifact’ler ayrıca, UsrClass.dat hive dosyasındaki aşağıdaki lokasyonda bulunur;

(HKEY_CLASSES_ROOT) USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBagMRU

USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags

ShellBag Analizi

BagMRUkey, birden fazla subkey içerir. Bu subkeyler Windows Explorer aracılığıyla erişilen klasörlerin dizin yapılarını gösterir. BagMRU key kendisi Masaüstü temsil eder; ancak subkey geri kalanı belirli bir klasöre atanmaz, bunun erine klasörlere erişilen hiyerarşiye göre yapılandırır.

BagMRU anahtarı da dahil olmak üzere bu numaralandırılmış alt anahtarların her biri aşağıdaki değerleri içerir:

MRUListEx: bu değer, geçerli anahtar içindeki her alt klasöre en son erişildiği sırayı gösterir.

NodeSlot: bu değer, o belirli klasör için görünüm ayarlarını içeren bag key’e karşılık gelir.

NodeSlots: Bu değer yalnızca BagMRU anahtarında bulunur ve yeni Shellbag oluşturulduğunda güncellenir.

Bags key yapılan özelleştirmeler ise bu dosya içerisine kaydedilmektedir. subkey her biri, görünüm ayarlarını (görüntüleme modu, boyut, konum) BagMRU anahtarının altında saklar.

Shellbag analizini Registry editor, Regribber, Registry Explorer, ShelBag Explorer araçların herhangi birini kullanarak analiz edebiliriz. Ben bu blog yazımda Windows’ta default olarak gelen Windows Registry Editor ve Shellbag Explorer araçlarını kullanarak analiz edeceğim.

Registry Editör ile;

Registry Explorer; EZ araçları olarak geçmektedir ücretsiz kullanabileceğimiz bir tooldur. Shellbag Explorer hem CLI hem GUI kullanım özelliği mevcuttur.

İlk olarak CLI tool yardımıyla bir shellbag parse edelim.

İlk olarak cmd.exe’yi administrator olarak açıyoruz ve SBECmd.exe nin bulunduğu konuma gidiyoruz.

SBECmd.exe yazıp çalıştırıyoruz.

Görüldüğü gibi araç hakkın ve kullanılan parametreler hakkında bilgileri görebiliyoruz.

Live bir sistem üzerinde analiz etmek –l parameteresini kullanıyorum

SBECmd.exe -l –csv .muhammed

Komutunu yazıyorum

-l : live sistemin shellbag parse etmek için

–csv : parse etmek istediğimiz format ve dosya yolunu belirliyoruz.

Parse işlemi tamamlandıktan sonra

Karşımıza dosyaları çıkıyor. Txt dosyasında command line da yazan bilgileri görebiliyoruz.

Csv dosyasında 502 tane shelbag outputlarını parse ettiğini ögrebiliyoruz.

Active registry diyerek şuandaki sistem üzerinde shellbagleri analizini gerçekleştirebiliriz.

Shellbags Artifact Analizi Sayesinde;

·         Value – Klasör adı

·         Absolute Path – Klasörün yolu

·         MFT Bilgileri

o   Creation Date – klasörün oluşturulma zaman damgası

o   Last Access – klasöre erişilen en son zaman damgası

o   Last Modification Date – klasörün en son değiştirildiği zaman damgası

Bilgileri alabiliriz. Shellbag analizini yaptığımıza göre olaysız dağılabiliriz 🙂

Kaynak:

https://www.sans.org/blog/shellbags-registry-forensics/

https://forensafe.com/blogs/shellbags.html

https://www.sans.org/blog/computer-forensic-artifacts-windows-7-shellbags/