Merhaba TürkHackTeam Üyeleri.
Bu Konumda Sizlere Windows Jump List Analizini Göstereceğim.
Konu İçeriği
➤ Windows Jump List Nedir?
➤ Windows Jump List Analizi Nasıl Yapılır?
➤ Windows Jump List'i Devre Dışı Bırakma
Windows Jump List Nedir?
Adli incelemelerde önem arz eden Jump List, Microsoft'un ürünü olan Windows 7 ile piyasaya tanıtılmış bir özelliktir. Bu özellik sayesinde kullanıcılar bir uygulamadaki en sık kullandıkları veya en son kullandıkları özelliklere, fonksiyonlara, dökümanlara, öğelere kolayca ulaşabilir. Bu sayede o uygulamada en sık veya en son gerçekleştirdikleri aksiyonları kolayca tekrardan gerçekletirebilirler. Jump List olayına görsel olarak birkaç örnek verelim;
Bir uygulamanın Jump List'ine ulaşmak için görev çubuğundan veya başlat menüsünden ilgili uygulamanın üzerine gelerek sağ tık yapmanız yeterli olacaktır. Jump List'in içeriğinde nelerin yer alacağı uygulamadan uygulamaya göre değişim göstermektedir. Bu Jump Listler sayesinde kullanıcının o uygulamadaki geçmiş aktiviteleri görülebildiği için adli incelemelerde önemli bir yere sahiptir.
Windows Jump List Analizi Nasıl Yapılır?
Temel olarak Jump Listlerin içerikleri AutomaticDestinations ve CustomDestinations olmak üzere 2 ye ayrılır.
AutomaticDestinations dosyalarını sistem kendisi oluştururken CustomDestinations dosyalarını ise uygulamalar oluşturur. Oluşturulan bu dosyaların kayıt edilme şekli [AppID]automaticDestinations-ms veya [AppID]customDestinations-ms şeklindedir.
App ID
Buradaki AppId kısmı uygulamanın kendine özel olan ID'sidir. Her uygulamanın ID'si farklıdır, elinizde bulunan bir ID'nin hangi uygulamaya ait olduğunu öğrenmek için bu adresi ziyaret edebilirsiniz. Tabi bu geliştirici özel bir kimlik oluşturmadıkça geçerlidir. Zira bu gibi yerlerde gösterilen AppIdler uygulamaların varsayılan kurulum konumunu dikkate alarak oluşturulmuşlardır.
AutomaticDestinations
Bu dosyalar sistem tarafından oluşturulmuş -ms formatlı dosyalardır. Bu dosyalara aşağıdaki dizine girerek ulaşabilirsiniz.
Kod:
[CENTER]%AppData%\Microsoft\Windows\Recent\AutomaticDestinations[/CENTER]Dosyaların tam içeriklerini normal bir text editör ile görmek mümkün değildir lakin açtığımızda genel manada bilgi sahibi olabiliriz.
Örnek olarak buradaki herhangibir dosyayı notepad ile açtığımızda veriler aşağıdaki gibi gözükecektir. Kayıtlar kullanıcı tarafından silinmiş olsa dahi bu dosyalarda saklanır. Ve daha yeni gösterdiğim Jump List örneklerindeki kayıtlardan çok daha fazlası bu dosyalarda tutulmaktadır.
CustomDestinations
Bu dosyalara ise aşağıdaki dizine girerek ulaşabilirsiniz.
Kod:
[CENTER]%AppData%\Microsoft\Windows\Recent\CustomDestinations[/CENTER]Bu dosyaların oluşturulma ve değiştirilme tarihleri adli bilişim açısından önemlidir. Zira bir uygulamanın oluşturulma tarihi o uygulamanın ilk çalıştırılma tarihini ifade ederken değiştirilme tarihi ise o uygulamanın en son dosya açma seçeneği ile çalıştırılma tarihini ifade eder. Bu AutomaticDestinations dosyaları içinde geçerlidir.
Gelelim bu dosyaları analiz etmeye..
» AutomaticDestinations türündeki ve CustomDestinations türündeki dosyaları analiz etmek için JumpLister isimli aracı kullanacağız. Aracımızı buraya tıklayarak kendi Github sayfası üzerinden bilgisayarınıza kurabilirsiniz.
» Aracımızın kurulumunu gerçekleştirdikten sonra elimizde JumpLister-master isimli bir klasör olacaktır. Bu klasöre giriyoruz ve karşımıza çıkan klasörlerden Release isimli olana tıklıyoruz.
» Release klasörüne girdikten sonra karşımıza bir zip dosyası çıkıyor. Bu zip dosyasını klasöre çıkartıyoruz.
» Ve oluşan yeni klasöre giriyoruz. Klasöre girdikten sonra bizi bazı dosyalar karşılıyor. Bunların içerisinden uygulamamızı yani JumpLister.exe dosyasını açıyoruz.
» Ve artık uygulamamız açıldı. Uygulamamızdaki Load butonuna tıklayarak AutomaticDestinations veya CustomDestinations türündeki analiz etmek istediğimiz dosyamızı seçiyoruz. Ve karşımıza bu dosya hakkındaki veriler çıkıyor.
» Uygulama hakkında kısaca bilgi verecek olursak, soldaki Root'un altında çıkan kayıtlara tıklandığında ilgili kayıt ile ilgili detaylı veriler sağ ekranda bize sunuluyor. Kayıtların en altındaki DestList e tıklandığında kayıtların tamamı ile ilgili NetBIOS, MAC adresi, Data, Date, Oluşturulma tarihi gibi verilere ulaşabilirsiniz.
Windows Jump List'i Devre Dışı Bırakma
» Windows bu Jump List özelliğini default olarak kullanıcılara açık olarak sunuyor. Lakin biz istersek bu özelliği kapatabiliriz. Bunun için masaüstünde sağ tık yapıp Kişiselleştir butonuna tıklıyoruz.
» Akabinde ise sol menüden Başlat yazan kısıma tıklıyoruz.
» Buradan aşağıdaki resimde belirtilen seçeneği kapatıyoruz ve işlem bu kadar. Artık Jump Listler kapanmış durumda.
Okuduğunuz İçin Teşekkür Ederim.
Esenlikle Kalın..
Saygılarımla:Smiley1021:
Son düzenleme:
