Defansif Güvenlik
Windows Forensic Artifacts: Shellbags
Bu yazımızda Windows Forensic incelemelerinde göz atılabilecek delillerden birisi olan Shellbag’lerden bahsedeceğiz.
03.01.2022
Windows’ta bir pencereyi ekranın başka bir yerine taşıdığınızda, boyutunu değiştirdiğinizde veya içindeki dosyaların sıralama kriterlerinde değişiklik yaptığınızda, bu değişikliklerin kaydedildiği ve pencereyi kapatıp açsanız dahi aynı şekilde geri gelmesi hiç dikkatinizi çekmiş miydi?
Evet bu özelleştirmeler Windows tarafından kullanıcı deneyimini iyileştirebilmek adına Shellbag’ler içerisinde kaydedilmekte.
Shellbag’ler Microsoft işletim sistemlerine Windows XP zamanında eklenen ve daha sonra çıkan bütün Windows işletim sistemlerinde bulunan bir özellik.
Shellbag dosyaları Windows kayıt defteri içerisinde birkaç yerde bulunmakta. Aşağıdaki listede ilgili kayıt defteri bilgilerini tutan .dat dosyası ve dizin bilgilerini görebilirsiniz.
Windows kayıt defteri üzerinden bu bilgilere ulaşmak için ise aşağıdaki lokasyonlara bakabilirsiniz.
Shell\Bags kayıtlarından birisini kontrol ettiğimizde aşağıdaki gibi bir görüntü ile karşılaşıyoruz.
Shellbag’lerin kullanıcı özelleştirmelerini tuttuğundan bahsetmiştik. Buradaki değerlerin isimlerine baktığınızda ikon boyutu, grup görünümü, sütun bilgisi gibi değerlerin olduğunu görebiliyoruz.
Shell\BagMRU kayıtlarına baktığımızda ise aşağıdaki gibi bir görüntü ile karşılaşıyoruz.
Gördüğünüz gibi Shell kayıtlarında iki adet alt kayıt bulunmakta:
BagMRU ve Bags.
BagMRU içerisinde klasör isimleri ve klasör yolları tutulmakta.
Bags içerisinde ise yapılan özelleştirmeler tutulmakta.
Peki bu verileri nasıl inceleyebiliriz?
Shellbag verilerinin incelenmesi için Eric Zimmerman’ın geliştirmiş olduğu Shellbags Explorer aracını aşağıdaki adresten indirebilirsiniz.
https://www.sans.org/tools/shellbags-explorer/
Shellbags Explorer ile aktif kayıt defterini yüklediğimizde öncesinde oluşturduğum ve tamamen sildiğim 2 adet klasörün kaydının Shellbags içerisinde yer aldığını kolayca tespit edebiliyoruz.
"test" ve "cokgizli" klasörlerine ait Shellbag’de MRU kayıtları oluştuğunu, klasörler silindiğinde bu kayıtlar silinmediği için hala görebilmekteyiz.
Detaylara baktığımızda 7 numaralı MRU kaydında bu bilginin bulunduğu görülebilir.
7 numaralı MRU kaydını kayıt defteri üzerinde açtığımızda ise aşağıdaki gibi klasör ismini görebilmekteyiz.
Bu kısa inceleme sonrası Shellbag Explorer aracı olmadan dahi kayıt defteri verilerine bakarak bu çıkarımlara ulaşabilirsiniz.
Peki Shellbag’den elde edeceğimiz bilgilerin Forensic değeri nedir?
- Explorer ile hangi klasörlerle etkileşime geçilmiş? (Yerel bilgisayar, ağ konumu veya çıkarılabilir diskler de olabilir.)
- Önceden var olan bir klasör silinmiş mi?
- Hangi kullanıcı hangi klasörlerle etkileşime geçmiş?
- Klasörlere ait Modified, Created, Accessed gibi zaman damgalarına ulaşılabilir.
Bu bilgiler kullanılarak bir saldırganın Windows Gezgini ile yapmış olduğu etkileşimlerle ilgili bilgi toplanabilir.
Shellbag’ler ile ilgili çok daha detaylı bilgilere ulaşabileceğiniz aşağıdaki kaynaklara da göz atmanızı tavsiye ederiz.
03.01.2022
Yorumlar
Bilgilendirici güzel bir içerik olmuş teşekkürler.
Çok teşekkürler bilgilendirici bir makale olmuş.
Makale için teşekkürler.
İyi bir makale. Bir sonraki gönderiyi takip edeceğim, harika 2048 cupcakes fnaf 2