Windows Forensics — Kontrol Edilmesi Gereken Dosyalar Part-3

Rcycle Bin

Windows geri dönüşüm kutusundan silinmiş fakat henüz sistemden silinmemiş dosyalar burada tutulur. Rcycle bin kanıtları Windows XP’de Recycler dizini altında tutulur. Windows Vista ile beraber $Recycle.Bin altında tutulmaktadır. (Erişmek için Win+R -> shell:RecycleBinFolder)

Rcycle Bin Analizi

• Rifiuti2 — Bu tool ile silinme tarihi, silinen dosya yolu ve boyutu bilgileri elde edilebilir.

LNK Dosyaları

LNK dosyaları Windows kısayollarıdır. Windows işletim sisteminin perde arkasında, “C:\Documents and Settings\%USERNAME%\Recent\” dizini içerisinde LNK dosyaları oluşturarak en son açılan dosyaların kaydını tutar.

LNK Dosya Analizi

• LECmd — LECmd veya Lnk Explorer, Windows işletim sistemlerinde bulunan kısayol dosyalarındaki tüm mevcut bilgilerin kodunu çözmek için bir araçtır.

Jump Listeleri

Atlama Listeleri, Windows 7 ile sunulan bir Windows özelliğidir. En son erişilen uygulamalar ve dosyalar hakkında bilgi içerirler. Windowsta iki tür atlama listesi oluşturulabilir.

• “AUTOMATICDESTINATIONS-MS” : Kullanıcılar bir dosya veya uygulama açtığında otomatik olarak oluşturulan atlama listeleridir. Dosya yolu -> C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• “CUSTOMDESTINATIONS-MS” : Kullanıcılar bir dosyayı veya bir uygulamayı pinlediğinde oluşturulan özel yapılmış atlama listeleridir. Dosya yolu -> C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Jump Listeleri Analizi

• JLECmd || JumpList Explorer

Shellbag Nedir?

Shellbag, Windows Gezgini aracılığıyla görüntülendiğinde bir klasör penceresinin görünümlerini, boyutlarını ve konumlarını (klasör ayarları) izlemeye yardımcı olur; buna ağ klasörleri ve removable devicelar dahildir. Windows 7 ve sonraki sürümlerde, kayıt defterindeki UsrClass.dat altında shellbagler bulunur:

• HKCRLocal SettingsSoftwareMicrosoftWindowsShellBags
• HKCRLocal SettingsSoftwareMicrosoftWindowsShellBagMRU

Register kayıtlarından;

• Computer\HKEY_CLASSES_ROOT\LocalSettings\Software\Microsoft\Windows\Shell\Bags

ShellBag Analizi

• SBECmd || ShellBag Explorer