23 Mayıs 2022 Pazartesi

SRUM (System Resource Usage Monitor) Analizi



 



SRUM (System Resource Usage Monitor) Analizi

Windows System Resource Usage Monitor –Windows Sistem Kaynak Kullanım Monitörü- olarak bilinen SRUM makinede tüketilen kaynakları izlemek için oluşturulmuştur. SRUM sistemde uygulamanın kaynak kullanımı enerji kullanımı, Windows anlık bildirimleri, ağ bağlantısı, veri kullanımı olmak üzere 30 ila 60 günlük sistem kaynağı kullanımını SRUDB.dat  dosyasına kaydeder. Bu özellik Windows sistemlerde varsayılan olarak etkindir ve sistemde başlangıcında otomatik olarak başlayacak şekilde yapılandırılmıştır.  Srudat.db dosyasına veriler sistem kapatıldıktan sonra yazılır. Windows 8 ve daha sonraki tüm Windows sistemlerde getirilen özelliklerdir. Task manager kısmında App history sekmesi aracılığıyla kullanıcıya sunulur, ancak bu bilgiler anlık olarak değişmektedir. Srudat.db dosyasında ise daha çok sayıda bilgi içerir.



 

SRUM hakkında bilgiler Srudb.dat dosyasında bulunur. Srudb.dat dosyası verileri  “HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions” ve “%SystemDrive%\Windows\System32\sru\SRUDB.dat” olmak üzere iki konumda kaydeder.




 


 

Registry key de kaydedilen veriler geçici verilerdir ve periyodik olarak %systemroot%\Windows\System32\sru\ konumunda bulunan SRUDB.dat dosyasına kaydedilir. Srudb.dat dosyası, ESE (Extensible Storage Engine) database formatındadır. Bu database dosyası, belirli bir sistemde meydana gelen tüm aktivitileri kaydeden birden çok tablo içerir.

 

 

SRUM Analizi:

Forensics bakış açısı ile Windows sisteminde meydana gelen Application Resource Usage, Network Connetctions, Network Usage, Push Notification Data, Energey Usage aktiviteleri içerdiğinden adli analiz aşamasında sistemde silinmiş olsa bile zararlı uygulamanın isimi, uygulamanın yolu, uygulamayı kullanan hesabın bilgisi gibi değerli bilgileri sunmaktadır. SRUM içerisinde barındırdığı bilgilerden dolayı adli bilişim ve olay müdahalesi vakalarında son derece yararlı bilgiler sağlar. SRUM program yürütmelerinin, güç tüketimini, network bağlantı aktivitelerine sebep olan ana prosesi kaydeder. Bu tür bilgiler adli analizi gerçekleştiren kişinin sistemde önceki faaliyetler ve olaylar hakkında bilgi edinmesini sağlar.

 

Sudb.dat dosyası manuel bir şekilde kopyalanamaz, FTK Imager, Kape, Raw Data Copy gibi toollaar yardımıyla kopyalama işlemi gerçekleştirilebilir.

Sıkça kullandığım araç olan FTK Imager ile srudb.dat dosyasını export alacağım. Srudb.dat dosyası ve SYSTEM hive dosyaların konuma gidip sağ tıkladıktan sonra istediğimiz dizine export işlemi gerçekleştirebiliriz.

 



 

Elde edilen srudb.dat dosyasını srum-dump, SrumECmd gibi toollar yardımıyla analiz edilebilir. Ben favori toollarımdan olan drum-dump ile nasıl analiz gerçekleştirildiği blog yazımda göstereceğim.

MarkBaggett tarafından oluşturulan ücretsiz bir araçtır Github üzerinden ücretsiz bir şekilde indirip kullanabilirsiniz.



GUI kullanıma sahip olan srum-dump çift tıklayarak çalıştırabiliriz.



Çift tıkladıktan sonra karşımıza bu şekilde bir ekran gelmektedir.

Sırasıyla;

1.      Elde etmiş olduğumuz Srudb.dat dosyasının 

2.      SRUM parse edildilkten sonra oluşacak excel dosyasının konumunu (Github downlonad sayfasından elden edebilirsiniz https://github.com/MarkBaggett/srum-dump)

3.      SRUM parse edilmesi için excel tamplet formatı

4.      SOFTRWARE HİVE dosyasını (isteğe bağlı olarak, SOFTWARE hive dosyası eklenebilir eklendiği zaman, uygulamalar tarafından hangi ağların hedef sıralamasını görebiliriz. )

 

Dosya konumlarını verdikten sonra ok deyip parse işlemlerini gerçekleştiriyoruz

 

 



 






Ortaya çıkan XLSX dosyasının alt kısmında birden çok sekme bulunur. Her sekme faydalı bilgilerle tespit edebiliriz.  

 










 

Kaynak:

[1] https://isc.sans.edu/forums/diary/System+Resource+Utilization+Monitor/21927/

15 Mayıs 2022 Pazar

Jump List Analizi


 


Jump List Analizi

 

Windows 7 ve daha sonraki tüm Windows sistemlerde sunulan bir özellik olan Jump List, kullanıcı tarafından daha önce erişilen, uygulama ve dosyaları listeler. Bu özellik sayesinde kullanıcıların son erişilen uygulama dosyalarına hızlı erişim sağlanması için Microsoft tarafından oluşturulmuştur. Jump List dosyalar erişilen dosyalar hakkında bilgi içermektedir.

Windows “AutomatıcDestınatıons” ve “CustomDestınatıons” olmak üzere iki farklı Jump List oluşturmaktadır.

AutomatıcDestınatıons: Kullanıcılar bir dosya veya uygulama açtığında otomatik oluşturulan Jump List’lerdir.

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\Automticdestinastion

Lokasyonunda bulunmaktadırlar.



CustomDestınatoıns: Kullanıcılar bir dosyayı ya bir uygulamayı sabitlediğinde (pinlediğinde) oluşturulan özel jumplistlerdir.

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Lokasyonunda bulunurlar.



Forensics bakış açısı ile tutulan dosyaları analiz sırasında önemli bir kanıtlayıcı bilgi kaynağı olarak kullanılmaktadır. Jump List analizinde; kullanıcıların dosya oluşturma, erişim ve değişiklik gibi sistemdeki geçmiş hareketlerini tespit edebiliriz. Jump Listeleri değerli kılan bir diğer özelliği ise sistemde silinen dosyaların bile jumplist kaydının tutuluyor olmasıdır. 

 

Jump List Analizi

Dosyalar elde edildikten sonra, bulunan dosyaların analizini gerçekleştirmek için, JLECmd, JumpList Explorer, Windows Jump List Parser, JumpListView araçlarından herhangi birini kullanabiliriz.  Benim favori araçlarımdan olan JLECmd ve JumpListView araçlarının kullanımından bahedeceğim.

JLECmd kullanmak için administarot bir cmd açarak JLEcmd.exe yazıp enterlıyoruz.

 



 

Görüldüğü gibi tool hakkında genel bilgiler vermektedir.

Daha sonra

JLECmd.exe -d "C:\Users\MA\AppData\Roaming\Microsoft\Windows\Recent\" --csv "E:\Belgeler\Desktop\New folder"



Komutunu yazıp enterlıyoruz.

-d elde edilen jumplist dosyalarının konumu

--csv parse işlemi sonucunda çıktının kaydedileceği dosya konumu

Yazdıktan sonra parse işlemini gerçekleştirerek bize bir csv dosyası sunmaktadır. csv dosyasından belirli bir zaman aralığında veya yaşanan olay hakkında gerekli analiz işlemleri gerçekleştirilebilir.



 

Bir diğer favori aracım olan JumplistView aracı, Nirsoft tarafından oluşturulan bir araçtır. JumpListsView herhangi bir kurulum işlemi veya ek dll dosyaları gerektirmez. Kullanmaya başlamak için, exe dosyasını çift tıklamamız yeterlidir. JumpListsView.exe'yi çalıştırdıktan sonra, sisteminizdeki JumpListeleri tarar ve bilgileri ana pencerede görüntüler. Bir veya daha fazla öğe seçebilir ve ardından bunları xml/html/csv/tab ile ayrılmış dosyaya aktarabilirsiniz. Ayrıca seçili öğeleri panoya (CTRL+C) kopyalayabilir ve verileri Excel'e veya başka bir elektronik tablo uygulamasına yapıştırabilirsiniz. 



 

9 Mayıs 2022 Pazartesi

LNK Dosya Analizi


 



LNK Dosya Analizi

LNK (.lnk) dosyaları Windows’ta kısayol (shortcut) dosyalarıdır. BU kısa yol dosyaları, başka bir veri nesnesine erişmek için kullanılabilecek bilgileri içerir Microsoft bu dosyalar sayesinde, Windows işletim sistemin daha hızlı çalışmasını amaçlamıştır.  LNK dosyaları, kullanıcı tarafından veya Windows işletim sistemi tarafından otomatik olarak oluşturulabilir. Bir kullanıcı lokalde veya paylaşımlı bir alanda belgeyi/programı açtığında bir LNK dosyası otomatik bir şekilde oluşmaktadır. LNK dosyaları, MAC süreleri, dosyanın orijinal yolu, boyut, birim seri numarası, ağ birim paylaşımı, ana bilgisayarın mac adresi gibi analiz için yararlı birçok veri içerir.

Forensics bakış açısı ile, bu dosyalar bir adli bilişim vakası veya bir olay müdahalesi sırasında bizlere yardımcı olabilecek değerli bilgilerdir. LNK dosyaları sayesinde, incelemekte olduğumuz sistem üzerinde artık mevcut olmayabilecek dosyaları bulabiliriz. Dosyalar silinmiş, bir USB'den veya ağ paylaşımında depolanmış olabilir, Bu nedenle şüpheli dosya artık orada olmasa da orijinal dosyayla ilişkili LNK dosyaları var olmaya devam eder LNK dosyası parse edilerek, dosyada ne yürütüldüğüne dair değerli bilgileri ortaya çıkarılabilir Ayrıca MFT kayıt analizinde ”.lnk” dosyasını gördüğümüz bir programın çalıştığının delili olarak sunulabilir.

LNK Files Location:

·         C:\{username}\AppData\Roaming\Microsoft\Windows\Recent items

·         C:\{username}\AppData\Roaming\Microsoft\Office\Recent





 

Registry Location: (ntuser.dat)

·         HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs



LNK (.lnk) dosyaları nasıl analiz edilir?

Bu dosyaları analiz etmeden önce bu dosyaların elde edilmesi gerekmektedir. İlgili konumlardan dosyalar toplandıktan sonra, exiftool LEcmd ve tzworks’un oluşturmuş olduğu Windows LNK Parsing Utility gibi toollar kullanılabilir. Bu blog yazımda hem exiftool kullanılarak hemde LEcmd kullanılarak analiz gerçekleştireceğim.

Exiftool kullnımı oldukça basittir.



 

exiftool(-k).exe yazıp entera baztığımız zaman tool hakkında detayları bilfileri bize sunmaktadır.

Şimdi lnk dosyalarının olduğu dosya dizini göstererek tool çalıştırıyoruz.



Görüldüğü gibi var olan tüm lnk dosyaların metadata bilgilerini karşımıza getirmektedir.

LEcmd aracı kullanarak analiz işlemi gerçekleştirilebilir; LEcmd.exe yazıp enterlıyoruz. Karşımıza tool hakkında bilgiler çıkıyor.



 

Daha sonra

LECmd.exe -d “ "E:\Belgeler\Desktop\LNK\C\Users\MA\AppData\Roaming\Microsoft\Windows\Recent"  --csv . 

Komutunu yazıyoruz.

-d: LNK dosyalarının olduğu dizin

--csv: çıktının dosya formatı



Parse işlemi tamamlandıktan sonra karşımıza csv dosyası sunmaktadır.



 

 

 

Kaynak:

[1] https://www.magnetforensics.com/blog/forensic-analysis-of-lnk-files/

Windows Forensics Tools


 



Network Analysis Tools

Registry Analysis Tools

RDP Cache Analysis Tools

Recycle Bin Analysis Tools

“$” Files Analysis Tools

Logs Analysis Tools

Processes And Memory Analysis Tools

Disk And File Analysis Tools

Browsers Analysis Tools

Frameworks, Toolkits and VM’s

Other