Windows Forensics — Kontrol Edilmesi Gereken Dosyalar Part-2

MFT (Master File Table) Nedir?

NTFS dosya sisteminin temelidir. Sistemde bulunan tüm dosya ve dizinler hakkında bilgi içerir. Bu nedenle, sistem üzerindeki dosyanın en az bir mft kaydı bulunmaktadır. Bir MFT kaydında bulunan değerler;

• Giriş Başlığı (Entry Header)
• Öznitelikler (Attributes) : Başlık ve İçerik olarak 2 ye ayrılır
• Kullanılmayan alan (Unused Space)

MFT Elde Etme Yöntemleri

• The Sleuth Kit (TSK) Araçları — icat.exe ücretsiz bir araç olup, MFT’den MFT girdisi, MFT dizini veya INODE değerlerinin çıkarılmasında kullanılmaktadır. Imaj üzerinden partition belirmek için mmls.exe, MFT’nin partitiondan çıkarımı için offset değerleri ile birlikte fsstat.exe kullanılmalıdır.

- MFT girdisi; NTFS dosya sistemine ait MFT tablosundaki her bir girişe verilen addır.

- Dizin Girdisi; FAT dosya sistemine ait dosya kayıtlarının tutulduğu tablodaki her bir girdiye verilen addır.

- INODE : Unix/LINUX sistemlerine ait dosya tablosundaki her bir girdiye verilen addır.

• FTK Imager — “File -> Add Evidence Item” yolu izlenerek istenilen logical disk seçilir ve root dizini altında MFT dosyası görülebilmektedir. Buradan ilgili dosya dışarı aktarılabilmektedir.
• Autopsy — Burada new case oluşturularak disk yahut imaj eklenmesinin ardından istenilen seçenekler aktif hale getirilir. Directory Tree bölümünde verinin bulunduğu partition seçilerek $MFT dosyasına erişim gerçekleştirilir. Bu araç ile de dosyanın dışarı aktarımı yapılabilmektedir.

Amcache ve Simcache Nedir ?

Amcache ve Shimcache, hangi programın yürütüldüğüne ve ilk çalıştırıldığı ve en son ne zaman değiştirildiğine dair bir zaman çizelgesi sağlayabilir. Ayrıca bu yapılar, işletim sistemi sürümüne bağlı olarak dosya yolu, boyutu ve hash ile ilgili program bilgileri sağlar.

Amcache

Amcache.hve dosyası, yürütülen uygulamaların bilgilerini depolayan bir kayıt defteri dosyasıdır. İlgili dosya yolu “\%SystemRoot%\AppCompat\Programs\Amcache.hve”.

Amcache Analizi

• Amcacheparser: Windows command line tool (free), https://ericzimmerman.github.io
• RegRipper: Amcache plugin (free), https://github.com/keydet89
• Amcache.py: Python tool (free), https://github.com/williballenthin/python-registry/tree/master/samples

Simcache

Önbellek, işletim sistemine bağlı olarak aşağıdakiler gibi çeşitli dosya meta verilerini depolar:

• File Full Path
• File Size
• $Standard_Information (SI) Last Modified time
• Shimcache Last Updated time
• Process Execution Flag

Dosya Tam Yolu — HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache\AppCompatCache

Simcache Analizi

• ShimCacheParser — https://github.com/mandiant/ShimCacheParser
• AppCompatCacheParser — https://github.com/EricZimmerman/AppCompatCacheParser

RDP Cache

RDP önbelleğe alma mekanizması, bir RDP istemcisine gönderilmesi gereken veri miktarını azaltır. Bunu, ekranın en son yenilenmesinden bu yana değişmeyen kısımlarını önbelleğe alarak yapar.

Önbellek dosyaları, ham bitmapleri döşeme biçiminde depolar. Her döşemenin boyutu değişebilir, ancak ortak boyut 64 x 64 pikseldir.

Dosya Yolu — %localappdata%\Microsoft\Terminal Server Client\Cache

RDP Cache Analizi

• RDP Cached Bitmap Extractor — https://www.guidancesoftware.com/app/RDP-Cached-Bitmap-Extractor
• bmc-tools — https://github.com/ANSSI-FR/bmc-tools