Siber Güvenlik

Windows Forensic Artifacts: Shellbags

Bu yazımızda Windows Forensic incelemelerinde göz atılabilecek delillerden birisi olan Shellbag’lerden bahsedeceğiz.

HÜSEYİN ÜSTÜNER |

03.01.2022

Windows’ta bir pencereyi ekranın başka bir yerine taşıdığınızda, boyutunu değiştirdiğinizde veya içindeki dosyaların sıralama kriterlerinde değişiklik yaptığınızda, bu değişikliklerin kaydedildiği ve pencereyi kapatıp açsanız dahi aynı şekilde geri gelmesi hiç dikkatinizi çekmiş miydi?

 

Evet bu özelleştirmeler Windows tarafından kullanıcı deneyimini iyileştirebilmek adına Shellbag’ler içerisinde kaydedilmekte.

 

Shellbag’ler Microsoft işletim sistemlerine Windows XP zamanında eklenen ve daha sonra çıkan bütün Windows işletim sistemlerinde bulunan bir özellik.

 

Shellbag dosyaları Windows kayıt defteri içerisinde birkaç yerde bulunmakta. Aşağıdaki listede ilgili kayıt defteri bilgilerini tutan .dat dosyası ve dizin bilgilerini görebilirsiniz.

 

Shellbags

 

Windows kayıt defteri üzerinden bu bilgilere ulaşmak için ise aşağıdaki lokasyonlara bakabilirsiniz.

 

Shellbags

 

Shellbags

 

Shell\Bags kayıtlarından birisini kontrol ettiğimizde aşağıdaki gibi bir görüntü ile karşılaşıyoruz.

 

Shellbags

 

Shellbag’lerin kullanıcı özelleştirmelerini tuttuğundan bahsetmiştik. Buradaki değerlerin isimlerine baktığınızda ikon boyutu, grup görünümü, sütun bilgisi gibi değerlerin olduğunu görebiliyoruz.

 

Shell\BagMRU kayıtlarına baktığımızda ise aşağıdaki gibi bir görüntü ile karşılaşıyoruz.

 

Shellbags

 

Gördüğünüz gibi Shell kayıtlarında iki adet alt kayıt bulunmakta:

BagMRU ve Bags.

 

BagMRU içerisinde klasör isimleri ve klasör yolları tutulmakta.

Bags içerisinde ise yapılan özelleştirmeler tutulmakta.

 

Peki bu verileri nasıl inceleyebiliriz?

 

Shellbag verilerinin incelenmesi için Eric Zimmerman’ın geliştirmiş olduğu Shellbags Explorer aracını aşağıdaki adresten indirebilirsiniz.

 

https://www.sans.org/tools/shellbags-explorer/

 

Shellbags Explorer ile aktif kayıt defterini yüklediğimizde öncesinde oluşturduğum ve tamamen sildiğim 2 adet klasörün kaydının Shellbags içerisinde yer aldığını kolayca tespit edebiliyoruz.

 

Shellbags

 

"test" ve "cokgizli" klasörlerine ait Shellbag’de MRU kayıtları oluştuğunu, klasörler silindiğinde bu kayıtlar silinmediği için hala görebilmekteyiz.

 

Detaylara baktığımızda 7 numaralı MRU kaydında bu bilginin bulunduğu görülebilir.

 

Shellbags

 

7 numaralı MRU kaydını kayıt defteri üzerinde açtığımızda ise aşağıdaki gibi klasör ismini görebilmekteyiz.

 

Shellbags

 

Bu kısa inceleme sonrası Shellbag Explorer aracı olmadan dahi kayıt defteri verilerine bakarak bu çıkarımlara ulaşabilirsiniz.

 

Peki Shellbag’den elde edeceğimiz bilgilerin Forensic değeri nedir?

 

  • Explorer ile hangi klasörlerle etkileşime geçilmiş? (Yerel bilgisayar, ağ konumu veya çıkarılabilir diskler de olabilir.)
  • Önceden var olan bir klasör silinmiş mi?
  • Hangi kullanıcı hangi klasörlerle etkileşime geçmiş?
  • Klasörlere ait Modified, Created, Accessed gibi zaman damgalarına ulaşılabilir.

 

Bu bilgiler kullanılarak bir saldırganın Windows Gezgini ile yapmış olduğu etkileşimlerle ilgili bilgi toplanabilir.

 

Shellbag’ler ile ilgili çok daha detaylı bilgilere ulaşabileceğiniz aşağıdaki kaynaklara da göz atmanızı tavsiye ederiz.