DFIR - Shellbag Forensics

 



Bu dökümanımızda ShellBags analizi yapıcaz. İlk olarak ShellBags nedir ne işe yarar bunlardan bahsedicez daha sonra bunları parse etmemize yarayan araçlara bakıcaz.


ShellBags : Windows sistemlerde kullanıcının gezindiği klasörler ve klasörlerin görünüm ayarları hakkında veriler tutan bir yapıdır. Bu veriler Windows Registry'nin belirli bölümlerinde saklanır. ShellBags Özellikle silinmiş ya da taşınmış klasörlere dair izlerin bulunması ve kullanıcının dosya sisteminde nasıl gezindiğinin anlaşılması açısından oldukça değerlidir.


Shellbags verileri NTUSER.DAT ve UserClass.dat dosyalarında bulunur.


NTUSER:DAT : Her kullanıcının kişisel registry verilerini tutar ve kullanıcının oturum açma bilgilerini içerir. Bu dosya içinde Shellbags ile ilgili bilgiler saklanır.


UserClass.dat: Kullanıcının klasörleri nasıl görüntülediğiyle ilgili verileri tutar. Örneğin, belirli klasörlerin simge düzeni, pencere boyutları, sıralama seçenekleri gibi ayarlar bu dosyada yer alır.


Ayrıca ShellBags verileri bu dosyalar içerisinde BagMRU ve Bags anahtarlarında saklanır.


BagMRU: Kullanıcının hangi klasörlere eriştiği bilgisini içerir. Ayrıca klasörlerin hiyerarşisini de tutar.


Bags: Klasörlerin görünüm ayarlarını, pencere boyutlarını, ikon düzenini ve diğer kullanıcı ayarlarını tutar.


Biz bu yapıyı ShellBagsExplorer,SBECmd ve XWF gibi araçlar ile analiz edebiliriz. Bu analizimizde ise SBECmd aracını kullanacağız.

İlk olarak cmd’yi yönetici olarak başlatmamız gerek daha sonra SBECmd aracımızın konumuna gitmemiz gerek.



Daha sonra SBECmd.exe yazarak aracımızı çalıştırıyoruz.




Aracımız hakkında kullanılan parametreleri görebiliyoruz.

SBECmd.exe -l –cvs .\mehmet komutunu girip parse işlemini gerçekleştiriyoruz.






İşlem tamamlandıktan sonra bize .txt ve .csv uzantılı 2 dosya veriyor .txt dosyasında komutun içeriğine bakabiliriz ve csv dosyasında ise parse sonucunu görebiliriz.







csv dosyasında 266 çıktı aldığımızı söyleyebilirim.





Ve böylece ShellBags analizi nasıl yapılır öğrenmiş olduk :)



Shellbag Forensics Anlatım Videosu : https://www.youtube.com/watch?v=tzBx2v5ue_Y



Yorum Gönder

0 Yorumlar