Jump List Analizi

Jump List Analizi

   Mayıs 15, 2022       Muhammed AYGÜN

---

 

Jump List Analizi

 

Windows 7 ve daha sonraki tüm Windows sistemlerde sunulan bir özellik olan Jump List, kullanıcı tarafından daha önce erişilen, uygulama ve dosyaları listeler. Bu özellik sayesinde kullanıcıların son erişilen uygulama dosyalarına hızlı erişim sağlanması için Microsoft tarafından oluşturulmuştur. Jump List dosyalar erişilen dosyalar hakkında bilgi içermektedir.

Windows “AutomatıcDestınatıons” ve “CustomDestınatıons” olmak üzere iki farklı Jump List oluşturmaktadır.

AutomatıcDestınatıons: Kullanıcılar bir dosya veya uygulama açtığında otomatik oluşturulan Jump List’lerdir.

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\Automticdestinastion

Lokasyonunda bulunmaktadırlar.

CustomDestınatoıns: Kullanıcılar bir dosyayı ya bir uygulamayı sabitlediğinde (pinlediğinde) oluşturulan özel jumplistlerdir.

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Lokasyonunda bulunurlar.

Forensics bakış açısı ile tutulan dosyaları analiz sırasında önemli bir kanıtlayıcı bilgi kaynağı olarak kullanılmaktadır. Jump List analizinde; kullanıcıların dosya oluşturma, erişim ve değişiklik gibi sistemdeki geçmiş hareketlerini tespit edebiliriz. Jump Listeleri değerli kılan bir diğer özelliği ise sistemde silinen dosyaların bile jumplist kaydının tutuluyor olmasıdır. 

 

Jump List Analizi

Dosyalar elde edildikten sonra, bulunan dosyaların analizini gerçekleştirmek için, JLECmd, JumpList Explorer, Windows Jump List Parser, JumpListView araçlarından herhangi birini kullanabiliriz.  Benim favori araçlarımdan olan JLECmd ve JumpListView araçlarının kullanımından bahedeceğim.

JLECmd kullanmak için administarot bir cmd açarak JLEcmd.exe yazıp enterlıyoruz.

 

 

Görüldüğü gibi tool hakkında genel bilgiler vermektedir.

Daha sonra

JLECmd.exe -d "C:\Users\MA\AppData\Roaming\Microsoft\Windows\Recent\" --csv "E:\Belgeler\Desktop\New folder"

Komutunu yazıp enterlıyoruz.

-d elde edilen jumplist dosyalarının konumu

--csv parse işlemi sonucunda çıktının kaydedileceği dosya konumu

Yazdıktan sonra parse işlemini gerçekleştirerek bize bir csv dosyası sunmaktadır. csv dosyasından belirli bir zaman aralığında veya yaşanan olay hakkında gerekli analiz işlemleri gerçekleştirilebilir.

 

Bir diğer favori aracım olan JumplistView aracı, Nirsoft tarafından oluşturulan bir araçtır. JumpListsView herhangi bir kurulum işlemi veya ek dll dosyaları gerektirmez. Kullanmaya başlamak için, exe dosyasını çift tıklamamız yeterlidir. JumpListsView.exe'yi çalıştırdıktan sonra, sisteminizdeki JumpListeleri tarar ve bilgileri ana pencerede görüntüler. Bir veya daha fazla öğe seçebilir ve ardından bunları xml/html/csv/tab ile ayrılmış dosyaya aktarabilirsiniz. Ayrıca seçili öğeleri panoya (CTRL+C) kopyalayabilir ve verileri Excel'e veya başka bir elektronik tablo uygulamasına yapıştırabilirsiniz. 

 

Read More

LNK Dosya Analizi

LNK Dosya Analizi

   Mayıs 09, 2022       Muhammed AYGÜN

---

 

LNK Dosya Analizi

LNK (.lnk) dosyaları Windows’ta kısayol (shortcut) dosyalarıdır. BU kısa yol dosyaları, başka bir veri nesnesine erişmek için kullanılabilecek bilgileri içerir Microsoft bu dosyalar sayesinde, Windows işletim sistemin daha hızlı çalışmasını amaçlamıştır.  LNK dosyaları, kullanıcı tarafından veya Windows işletim sistemi tarafından otomatik olarak oluşturulabilir. Bir kullanıcı lokalde veya paylaşımlı bir alanda belgeyi/programı açtığında bir LNK dosyası otomatik bir şekilde oluşmaktadır. LNK dosyaları, MAC süreleri, dosyanın orijinal yolu, boyut, birim seri numarası, ağ birim paylaşımı, ana bilgisayarın mac adresi gibi analiz için yararlı birçok veri içerir.

Forensics bakış açısı ile, bu dosyalar bir adli bilişim vakası veya bir olay müdahalesi sırasında bizlere yardımcı olabilecek değerli bilgilerdir. LNK dosyaları sayesinde, incelemekte olduğumuz sistem üzerinde artık mevcut olmayabilecek dosyaları bulabiliriz. Dosyalar silinmiş, bir USB'den veya ağ paylaşımında depolanmış olabilir, Bu nedenle şüpheli dosya artık orada olmasa da orijinal dosyayla ilişkili LNK dosyaları var olmaya devam eder LNK dosyası parse edilerek, dosyada ne yürütüldüğüne dair değerli bilgileri ortaya çıkarılabilir Ayrıca MFT kayıt analizinde ”.lnk” dosyasını gördüğümüz bir programın çalıştığının delili olarak sunulabilir.

LNK Files Location:

·         C:\{username}\AppData\Roaming\Microsoft\Windows\Recent items

·         C:\{username}\AppData\Roaming\Microsoft\Office\Recent

 

Registry Location: (ntuser.dat)

·         HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

LNK (.lnk) dosyaları nasıl analiz edilir?

Bu dosyaları analiz etmeden önce bu dosyaların elde edilmesi gerekmektedir. İlgili konumlardan dosyalar toplandıktan sonra, exiftool LEcmd ve tzworks’un oluşturmuş olduğu Windows LNK Parsing Utility gibi toollar kullanılabilir. Bu blog yazımda hem exiftool kullanılarak hemde LEcmd kullanılarak analiz gerçekleştireceğim.

Exiftool kullnımı oldukça basittir.

 

exiftool(-k).exe yazıp entera baztığımız zaman tool hakkında detayları bilfileri bize sunmaktadır.

Şimdi lnk dosyalarının olduğu dosya dizini göstererek tool çalıştırıyoruz.

Görüldüğü gibi var olan tüm lnk dosyaların metadata bilgilerini karşımıza getirmektedir.

LEcmd aracı kullanarak analiz işlemi gerçekleştirilebilir; LEcmd.exe yazıp enterlıyoruz. Karşımıza tool hakkında bilgiler çıkıyor.

 

Daha sonra

LECmd.exe -d “ "E:\Belgeler\Desktop\LNK\C\Users\MA\AppData\Roaming\Microsoft\Windows\Recent"  --csv .  “

Komutunu yazıyoruz.

-d: LNK dosyalarının olduğu dizin

--csv: çıktının dosya formatı

Parse işlemi tamamlandıktan sonra karşımıza csv dosyası sunmaktadır.

 

 

 

Kaynak:

[1] https://www.magnetforensics.com/blog/forensic-analysis-of-lnk-files/

Read More