Windows Dijital Delil İzleri: Kabuk Çantaları(Shellbags) nedir?

Bu makalemizde Windows Forensic incelemelerinde göz atılabilecek delillerden birisi olan Shellbag’lerden bahsedeceğiz.

Windows’ta bir pencereyi ekranın başka bir yerine taşıdığınızda, boyutunu değiştirdiğinizde veya içindeki dosyaların sıralama kriterlerinde değişiklik yaptığınızda, bu değişikliklerin kaydedildiği ve pencereyi kapatıp açsanız dahi aynı şekilde geri gelmesi hiç dikkatinizi çekmiş miydi?

Evet bu özelleştirmeler Windows tarafından kullanıcı deneyimini iyileştirebilmek adına Shellbag’ler içerisinde kaydedilmekte.

Shellbag’ler Microsoft işletim sistemlerine Windows XP zamanında eklenen ve daha sonra çıkan bütün Windows işletim sistemlerinde bulunan bir özellik.

Shellbag dosyaları Windows kayıt defteri içerisinde birkaç yerde bulunmakta. Aşağıdaki listede ilgili kayıt defteri bilgilerini tutan .dat dosyası ve dizin bilgilerini görebilirsiniz.

Windows kayıt defteri üzerinden bu bilgilere ulaşmak için ise aşağıdaki lokasyonlara bakabilirsiniz.

Shell\Bags kayıtlarından birisini kontrol ettiğimizde aşağıdaki gibi bir görüntü ile karşılaşıyoruz.

Shellbag’lerin kullanıcı özelleştirmelerini tuttuğundan bahsetmiştik. Buradaki değerlerin isimlerine baktığınızda ikon boyutu, grup görünümü, sütun bilgisi gibi değerlerin olduğunu görebiliyoruz.

Shell\BagMRU kayıtlarına baktığımızda ise aşağıdaki gibi bir görüntü ile karşılaşıyoruz.

Gördüğünüz gibi Shell kayıtlarında iki adet alt kayıt bulunmakta:

BagMRU ve Bags.

BagMRU içerisinde klasör isimleri ve klasör yolları tutulmakta.

Bags içerisinde ise yapılan özelleştirmeler tutulmakta.

Peki bu verileri nasıl inceleyebiliriz?

Shellbag verilerinin incelenmesi için Eric Zimmerman’ın geliştirmiş olduğu Shellbags Explorer aracını aşağıdaki adresten indirebilirsiniz.

https://www.sans.org/tools/shellbags-explorer/

Shellbags Explorer ile aktif kayıt defterini yüklediğimizde öncesinde oluşturduğum ve tamamen sildiğim 2 adet klasörün kaydının Shellbags içerisinde yer aldığını kolayca tespit edebiliyoruz.

“test” ve “cokgizli” klasörlerine ait Shellbag’de MRU kayıtları oluştuğunu, klasörler silindiğinde bu kayıtlar silinmediği için hala görebilmekteyiz.

Detaylara baktığımızda 7 numaralı MRU kaydında bu bilginin bulunduğu görülebilir.

7 numaralı MRU kaydını kayıt defteri üzerinde açtığımızda ise aşağıdaki gibi klasör ismini görebilmekteyiz.

Bu kısa inceleme sonrası Shellbag Explorer aracı olmadan dahi kayıt defteri verilerine bakarak bu çıkarımlara ulaşabilirsiniz.

Peki Shellbag’den elde edeceğimiz bilgilerin Forensic değeri nedir?

  • Explorer ile hangi klasörlerle etkileşime geçilmiş? (Yerel bilgisayar, ağ konumu veya çıkarılabilir diskler de olabilir.)
  • Önceden var olan bir klasör silinmiş mi?
  • Hangi kullanıcı hangi klasörlerle etkileşime geçmiş?
  • Klasörlere ait Modified, Created, Accessed gibi zaman damgalarına ulaşılabilir.
admin

Recent Posts

“A.TR” 3. Kategori Başvuruları Başladı!

“a.tr Geçiş Süreci” kapsamında işlemlerin yürütüleceği 3. Kategori Başvuruları 14 Şubat 2024’te başladı. Bu kategori sırasıyla;… Read More

8 ay ago

Öğretmenler Günü ve 20. Yıl Kutlaması: %80 İndirim Fırsatını Kaçırmayın!

Sayın Müşterimiz,Ekonomikhost İnternet ve Bilişim Hizmetleri olarak, öğretmenlerimize ve 20. yıldönümümüze özel bir kampanya ile… Read More

1 sene ago

Fırsatları Kaçırmayın! Com.tr Alan Adınızı 65 TL’ye Kaydedin!

Siz değerli müşterilerimize her zaman daha iyi hizmet sunmanın yollarını arıyoruz vebu sefer sizin için… Read More

1 sene ago

20 Yıldır Daima Hızlı, Ekonomik ve Güvenilir Hosting | Ekonomikhost 20. yaşında

Sayın Ekonomikhost Müşterileri, Bugün Ekonomikhost olarak büyük bir gurur ve mutlulukla 20. yılımızı kutlamanın heyecanını… Read More

1 sene ago

Caching (Önbelleğe Alma) Nedir ve Nasıl Çalışır?

Caching (önbelleğe alma), bilgisayar sistemlerinde ve yazılımlarda sık kullanılan verilerin geçici olarak saklanmasıdır. Bu, veriye… Read More

1 sene ago

MAPI/EWS Nedir? Ne Amaçla Kullanılır?

Elektronik posta kullanımında bir çok teknoloji karşımıza çıkıyor. Web üzerinden e-postalarınızı kontrol ettiğiniz gibi bunun… Read More

1 sene ago