JUMP LISTS ANALYSIS
JUMP LISTS
Windows görev çubuğunda herhangi bir uygulamada sağ tıkladığımız zaman daha hızlı erişebilmemiz için görünen en sık kullandığımız seçeneklere Jump list yani “Atlama listesi” denmektedir. Windows 7 ve daha sonraki tüm sistemlerde mevcuttur.
Google Chrome da sağ tıkladığımız zaman en sık ziyaret edilen siteleri göstermesi veya dosya gezgininde en sık açtığımız klasörlerin ekrana gelmesi örnek gösterilebilir.
Jump List ‘lerin içerikleri Destination adlı dosyalardan oluşur. 2 farklı Destination dosyası vardır. Bunlardan biri sistemin kullanıcının bir dosya veya uygulamayı açtığında sistem tarafından otomatik oluşturulan AutomaticDestinations, diğeri ise kullanıcının bir uygulamayı veya dosyayı sabitlediğinde uygulama tarafından oluşturulan CustomDestinations dosyasıdır.
Destination dosyalarının sistemde görünüşü;
Jump Lists Dosya Konumu
●AutomaticDestinastions
C:\Users\(username)\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinastion
● CustomDestinations
C:\Users\(username)\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
Dosyalar göründüğü gibi –ms formatındadır içerikleri net bir şekilde görülemese de yine de text editörle dosya hakkında bilgiye sahip olunabilir.
JUMP LISTS ANALİZİ
Jump Listlerin analizi, Forensics bakış açısı ile bize kullanıcının dosya zaman damgaları ve geçmiş hareketlerini tespit etme fırsatı sunar.
Burada bulunan zaman damgaları önemlidir. Oluşturulma zamanı uygulamanın ilk ne zaman çalıştırıldığını, değiştirilme zamanı ise uygulamanın en son dosya açma seçeneği ile ne zaman çalıştırıldığını gösterir.
Dosyalardaki ID ‘lerin de her birinin anlamı vardır. Bu AppID ‘ler tektir ve her sistemde aynı şekilde bulunur, sistemden sisteme değişiklik göstermez.
Uygulamalara ve karşılık gelen AppID ‘lere buradan ulaşabilirsiniz.
JumpLister ile Jump List Analizi
JumpLister, bir veya daha fazla Jump List dosyasını açmak için tasarlanmıştır. AutomaticDestinations ve CustomDestinations dosyalarını açarak uygulama isimlerini, Created, Accessed, Modified time bilgilerini, makine ve nesne kimlikleri hakkında verileri görmemizi sağlar.
Öncelikle file veya load seçeneğine tıklayarak Custom veya Automatic şeklinde belirterek dosyalarımızı seçiyoruz.
Seçtiğimiz dosyalar ekranın üst bölümünde listeleniyor. Bu bölümde dosya adı ve uygulama adı bilgilerini görüntüleyebiliyoruz.
Bu dosyalar arasından seçim yaparak da ekranın alt kısmında daha detaylı bir liste görüntüleyebiliriz.
Bu listede Created, Modified, Access timestamp bilgileri Machine ID, Object ID, dosya konumu ve dosyayla ilgili çeşitli bilgilere ulaşırız.
JumpListsView ile Jump List Analizi
JumpListsView, Windows 7 ve sonrasının ‘Atlama Listeleri’ özelliği tarafından depolanan bilgileri görüntüleyen basit bir araçtır. Jump List ‘lerde bulunan her kayıt için aşağıdaki bilgiler görüntülenir:
●Kullanıcının açtığı dosya adı,
●Dosyanın açıldığı tarih/saat bilgisi,
●Dosyayı açmak için kullanılan uygulamanın kimliği,
●Dosyanın açıldığı andaki boyutu/zamanı/öznitelikleri ve daha fazlası
Ayrıca Jump List kayıtlarını csv/tab-delimited/xml/html olarak dışa aktarabilirsiniz.
Jump List dosyalarını görüntülemek için JumpListsView ‘i çalıştırmamız yeterlidir. Çalıştırdıktan sonra dosyalar ekrana detaylarıyla birlikte listelenir. Fakat bu araç CustomDestinations dosyalarını getirmez sadece AutomaticDestinations dosyaları listelenir.
JLECmd.exe ile Jump List Analizi
Jump List dosyasını ayrıştırmak için kullanılan Eric Zimmerman Araçlarından biridir. cmd komut istemcisinde çalışır ve verilerin csv formatında çıktısını almamızı sağlar.
cmd komut istemcisini yönetici olarak çalıştırıyoruz ardından konumunda JLECmd.exe ‘yi çalıştırıyoruz.
Ekranda JLECmd.exe kullanım örneği ve komut seçenekleri karşımıza geliyor.
Ardından dosyalarımızı parse etmek için;
JLECmd.exe -d C:\Users\(username)\AppData\Roaming\Microsoft\
Windows\Recent\AutomaticDestinastion -csv C:\Temp –csvf jump.csv
JLECmd.exe -d C:\Users\(username)\AppData\Roaming\Microsoft\
Windows\Recent\CustomDestinastion -csv C:\Temp –csvf jump1.csv
Komutlarını çalıştıyoruz ve parse işlemi gerçekleşiyor.
