Home » All posts

13 Temmuz 2022 Çarşamba

ShellBag Analizi

   Temmuz 13, 2022       Muhammed AYGÜN

 

ShellBag Analizi


 


    Microsoft Windows Explorer aracılığıyla, görüntülediğinde bir klasör penceresinin görünümlerini, boyutlarını ve konumlarını izlemeye yardımcı olur buna ağ klasörleri ve çıkarılabilir cihazlar dahildir. Yani Windows ekranını başka bir yere taşıdığımızda, boyutunu değiştirdiğimizde, içindeki dosya sıralamasını yaptıktan sonra bir daha hatırlamasında Shellbag yardımcı olur. Belirli bir klasörün penceresinin konumu, görünümü veya boyutunun adli analiz için neden önemli olduğu kafamızda soru işareti olarak kalabilir. Bu özellikler bir analiz için fazla değerli olmasa da, Windows bu özellikleri registry saklarken bir dizi ek yapı oluşturur ve analizi gerçekleştiren kişiye klasöre şüphelini göz atma geçmişine ve herhangi bir klasöre ilişkin ayrıntılara ilişkin ayrıntılı bilgi verir. Shellbag analizi sayesinde, Silinmiş klasörlerin bilgisini bulabiliriz. Kullanıcının hangi klasörle eriştiğini, Klasörlere ait zaman damgalarının bilgisine, ulaşabiliriz.

ShellBag'ler, Windows explorer kullandığınızda klasörlerin boyutunu, simgesini, görünümünü ve konumunu kaydetmek ve depolamak için Windows'un kullandığı bir kayıt defteri anahtarı biçimidir.

Bir kullanıcı klasör görünümünde simgeler ayarlarını büyük simge yaparsa, ayrıntıları değiştirirse, ayarların ShellBag’de depolanacağı anlamına gelir. Bir kullanıcı, Windows grafik arabirimindeki klasörlerin görünüm modunu veya konumunu değiştirdiğinde, Windows, "ShelBags" olarak bilinen Windows Kayıt Defteri anahtarlarındaki bilgileri hatırladığından, yeni görünüm kullanılabilir durumda kalır. Windows explorer’da kullanımı genellikle yalnızca yerel makinedeki klasörleri değil, aynı zamanda ağdaki veya USB diskler veya flash sürücüler gibi çıkarılabilir aygıtlardaki klasörleri de içeren veritabanlarına kaydedilir yani silindikten sonra bile dizinler hakkındaki bilgileri koruyan bu ShellBag'lerdir.

 

Shellbags artifacklerin lokasyonu;

(HKEY_CURRENT_USER) NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU

NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags

Shellbags artifact’ler ayrıca, UsrClass.dat hive dosyasındaki aşağıdaki lokasyonda bulunur;

(HKEY_CLASSES_ROOT) USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags

 

 

ShellBag Analizi

BagMRUkey, birden fazla subkey içerir. Bu subkeyler Windows Explorer aracılığıyla erişilen klasörlerin dizin yapılarını gösterir. BagMRU key kendisi Masaüstü temsil eder; ancak subkey geri kalanı belirli bir klasöre atanmaz, bunun erine klasörlere erişilen hiyerarşiye göre yapılandırır.



BagMRU anahtarı da dahil olmak üzere bu numaralandırılmış alt anahtarların her biri aşağıdaki değerleri içerir:

MRUListEx: bu değer, geçerli anahtar içindeki her alt klasöre en son erişildiği sırayı gösterir.

NodeSlot: bu değer, o belirli klasör için görünüm ayarlarını içeren bag key’e karşılık gelir.

NodeSlots: Bu değer yalnızca BagMRU anahtarında bulunur ve yeni Shellbag oluşturulduğunda güncellenir.

Bags key yapılan özelleştirmeler ise bu dosya içerisine kaydedilmektedir. subkey her biri, görünüm ayarlarını (görüntüleme modu, boyut, konum) BagMRU anahtarının altında saklar.

Shellbag analizini Registry editor, Regribber, Registry Explorer, ShelBag Explorer araçların herhangi birini kullanarak analiz edebiliriz. Ben bu blog yazımda Windows’ta default olarak gelen Windows Registry Editor ve Shellbag Explorer araçlarını kullanarak analiz edeceğim.

Registry Editör ile;

Registry Explorer; EZ araçları olarak geçmektedir ücretsiz kullanabileceğimiz bir tooldur. Shellbag Explorer hem CLI hem GUI kullanım özelliği mevcuttur.

İlk olarak CLI tool yardımıyla bir shellbag parse edelim.

İlk olarak cmd.exe’yi administrator olarak açıyoruz ve SBECmd.exe nin bulunduğu konuma gidiyoruz.



SBECmd.exe yazıp çalıştırıyoruz.



 

Görüldüğü gibi araç hakkın ve kullanılan parametreler hakkında bilgileri görebiliyoruz.

Live bir sistem üzerinde analiz etmek –l parameteresini kullanıyorum

SBECmd.exe -l --csv .\muhammed

Komutunu yazıyorum

-l : live sistemin shellbag parse etmek için

--csv : parse etmek istediğimiz format ve dosya yolunu belirliyoruz.



Parse işlemi tamamlandıktan sonra



Karşımıza dosyaları çıkıyor. Txt dosyasında command line da yazan bilgileri görebiliyoruz.

Csv dosyasında 502 tane shelbag outputlarını parse ettiğini ögrebiliyoruz.





ShellBagsExplorer aracını kullanmak çok daha kolay ve güzel bir ara yüz bize sunmaktadır. Çift tıklayarak çalıştırdıktan sonra file kısmında live bir sistem üzerinden mi yoksa offline yani triyajı alınmış bir sistem üzerinde mi analiz yapacağımızı programa belirtiyoruz.


Active registry diyerek şuandaki sistem üzerinde shellbagleri analizini gerçekleştirebiliriz.

 


 

 

Shellbags Artifact Analizi Sayesinde;

·         Value – Klasör adı

·         Absolute Path – Klasörün yolu

·         MFT Bilgileri

o   Creation Date – klasörün oluşturulma zaman damgası

o   Last Access – klasöre erişilen en son zaman damgası

o   Last Modification Date – klasörün en son değiştirildiği zaman damgası

 

Bilgileri alabiliriz. Shellbag analizini yaptığımıza göre olaysız dağılabiliriz :)

 

 

 

 

Kaynak:

https://www.sans.org/blog/shellbags-registry-forensics/

https://forensafe.com/blogs/shellbags.html

https://www.sans.org/blog/computer-forensic-artifacts-windows-7-shellbags/

 

 

 

   /

30 Haziran 2022 Perşembe

Volume Shadow Copy Services (VSS) Analizi

   Haziran 30, 2022       Muhammed AYGÜN

Volume Shadow Copy Services (VSS) Analizi



Volume Shadow Copy, Microsoft tarafından, Windows işletim sistemlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesine imkan tanıyan bir Windows özelliğidir. Forensics bakış açısı ile bu özelliğe bakacak olursak, anti-forensics tekniklerini kullanılmış olsa bile oldukça önemli ve geçmişte yazılmış bilgileri, artifackleri, silinen veya değiştirilen dosyaları bulmamıza olanak sağlayacaktır.

 

Volume Shadow Copy, Microsoft tarafından, Windows Vista ve sonraki işletim sistemi sürümlerinde kullanılan manuel ya da otomatik olarak dosya ve klasörlerin Snapshot’ın alınmasına, istenildiği zaman bu dosya veya klasörlerin belirtilen zamandaki haline geri dönmesini sağlayan bir Windows özelliğidir. (Snapshot, kısa süreli çalışmalar öncesinde alınan bir backup türüdür bu sayede belirtilen zamana göre makineyi geri döndürebiliriz.) Volume Shadow Copy özelliği aktif edilebilmesi için NTFS bir volüme sahip olmak gerekir. Shadow Copy ile alınan içerikler read only özelliğine sahiptir yani volüme shaodw Copy ile alınan dosya ve klasörler değiştirilemez. Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Bundan dolayı Windows default diskin yaklaşık %15’ini Volume Shadow kısmına ayırır. Ayrılan alan doldurulduğunda eski volüme shadow copy silinmektedir.

 


 





 


 

Volume Shadow Copy Analizi,

Bu Windows özelliği önceki Windows sisteme geri dönmesine olanak tanır. Bu özellik sayesinde Adli Bilişim incelemeleri açısından bu özellik oldukça önemli ve geçmişte yazılmış bilgileri, registry keyleri, silinen veya değiştirilen dosyaları bulmak için faydalı olacaktır. Çokça kullanılan anti-forenscis tekniklerinden biri olan dosya veya klasörü wipe etme olduğunu biliyoruz kullanıcı wipe etmiş olsa bile Snapshot’lar Windows güncellemeleri yüklendiğinde, sürücü/yazılım kurulumu sırasında veya zamanlanmış bir görev aracılığıyla otomatik bir şekilde oluşturulabilir. Shadow Copy analizinde wipe edilen dosya veya klasör volüme shadow copy bulunabilir. VSS kullanılarak Registry keyler, dosyalar, log dosyaları gibi kritik bilgiler kurtarılabilir.

Prodiscover Forensics veya Microsoft sistem toolları olan vssadmin, mklink gibi araçlar kullanılarak Volume Shadows Copy dosyalarına erişebilir ve analiz işlemi gerçekleştirilebilir.

“vssadmin list shadows” komutu ile tüm shadow Copyler listelenir.



 

vssadmin list shadows /for=c:

komutu ile c sürücüsü üzerinde volumeshadows copyleri listeler



 

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\windows\system32\config\SYSTEM E:\Belgeler\Desktop

bu komut ile 4/25/2022 12:12:30 PM Creation ed’len  VolumeShadowCopy4 içerisinde bulunan SYSTEM hive dosyasını alabiliriz. Çeşitli toollar ile analizi gerçekleştirebiliriz.



 

 Eğer tüm volumeshodws copy almak istiyorsak mklink aracını kullanmamız gerekecektir bu araç Windows sistemlerde default olarak gelmektedir. mklink ile sembolik veya sabit bağlantı bir dizin veya dosya oluşturulabilir. [1]


Parametreler :

/D = Yerel ve Ağ üzerindeki bir dizin için sembolik link oluşturur. Mklink ’de herhangi parametre girmezseniz default olarak bu parametreyle işlem yapacaktır.

/J = Yerel bağlantı oluşturur. Yani bu komutla yapacağınız bağlantıları sadece yerel olarak olarak kullanabilirsiniz.

/H = Doğrudan dizin yerine dosyaya odaklı bir bağlantı oluşturur.

 

mklink ile shadows copyleri görmek için;

mklink /d shadows3 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\

komutunu çalıştırabiliriz.


 


Görüldüğü gibi commadline bulunana dizin üzerine shadows copy mizi oluşturduk.



Silinmiş dosya registry gibi dosyalarımızı buradan rahatlıkla görebiliriz.

Burada alınan shadow copyleri daha önceki blog yazılarımda anlattığım gibi istediğimiz artifacklerin analizlerini gerçekleştirebiliriz.

 


   /

Kaydol: Kayıtlar ( Atom )