Bu makalemizde Windows Forensic incelemelerinde göz atılabilecek delillerden birisi olan Shellbag’lerden bahsedeceğiz.
Windows’ta bir pencereyi ekranın başka bir yerine taşıdığınızda, boyutunu değiştirdiğinizde veya içindeki dosyaların sıralama kriterlerinde değişiklik yaptığınızda, bu değişikliklerin kaydedildiği ve pencereyi kapatıp açsanız dahi aynı şekilde geri gelmesi hiç dikkatinizi çekmiş miydi?
Evet bu özelleştirmeler Windows tarafından kullanıcı deneyimini iyileştirebilmek adına Shellbag’ler içerisinde kaydedilmekte.
Shellbag’ler Microsoft işletim sistemlerine Windows XP zamanında eklenen ve daha sonra çıkan bütün Windows işletim sistemlerinde bulunan bir özellik.
Shellbag dosyaları Windows kayıt defteri içerisinde birkaç yerde bulunmakta. Aşağıdaki listede ilgili kayıt defteri bilgilerini tutan .dat dosyası ve dizin bilgilerini görebilirsiniz.
Windows kayıt defteri üzerinden bu bilgilere ulaşmak için ise aşağıdaki lokasyonlara bakabilirsiniz.
Shell\Bags kayıtlarından birisini kontrol ettiğimizde aşağıdaki gibi bir görüntü ile karşılaşıyoruz.
Shellbag’lerin kullanıcı özelleştirmelerini tuttuğundan bahsetmiştik. Buradaki değerlerin isimlerine baktığınızda ikon boyutu, grup görünümü, sütun bilgisi gibi değerlerin olduğunu görebiliyoruz.
Shell\BagMRU kayıtlarına baktığımızda ise aşağıdaki gibi bir görüntü ile karşılaşıyoruz.
Gördüğünüz gibi Shell kayıtlarında iki adet alt kayıt bulunmakta:
BagMRU ve Bags.
BagMRU içerisinde klasör isimleri ve klasör yolları tutulmakta.
Bags içerisinde ise yapılan özelleştirmeler tutulmakta.
Peki bu verileri nasıl inceleyebiliriz?
Shellbag verilerinin incelenmesi için Eric Zimmerman’ın geliştirmiş olduğu Shellbags Explorer aracını aşağıdaki adresten indirebilirsiniz.
https://www.sans.org/tools/shellbags-explorer/
Shellbags Explorer ile aktif kayıt defterini yüklediğimizde öncesinde oluşturduğum ve tamamen sildiğim 2 adet klasörün kaydının Shellbags içerisinde yer aldığını kolayca tespit edebiliyoruz.
“test” ve “cokgizli” klasörlerine ait Shellbag’de MRU kayıtları oluştuğunu, klasörler silindiğinde bu kayıtlar silinmediği için hala görebilmekteyiz.
Detaylara baktığımızda 7 numaralı MRU kaydında bu bilginin bulunduğu görülebilir.
7 numaralı MRU kaydını kayıt defteri üzerinde açtığımızda ise aşağıdaki gibi klasör ismini görebilmekteyiz.
Bu kısa inceleme sonrası Shellbag Explorer aracı olmadan dahi kayıt defteri verilerine bakarak bu çıkarımlara ulaşabilirsiniz.
Peki Shellbag’den elde edeceğimiz bilgilerin Forensic değeri nedir?
- Explorer ile hangi klasörlerle etkileşime geçilmiş? (Yerel bilgisayar, ağ konumu veya çıkarılabilir diskler de olabilir.)
- Önceden var olan bir klasör silinmiş mi?
- Hangi kullanıcı hangi klasörlerle etkileşime geçmiş?
- Klasörlere ait Modified, Created, Accessed gibi zaman damgalarına ulaşılabilir.
Article Tags: shellbags nedir · windowsda forensic artifacts nedir