Статья [2 часть] Форензика списков переходов Jump Lists в Windows 10

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Записи, поддерживаемые списками переходов, могут предоставить богатый источник доказательств хронологии действий пользователя для судебного эксперта. Структура и артефакты, записанные списками переходов, широко обсуждались в различных судебных сообществах с момента его дебюта в Microsoft Windows 7. Однако эта функция имеет больше возможностей для выявления доказательств в Windows 10 из-за своей измененной структуры. В структуре списков переходов в Windows 10 нет литературы, и однозначных инструментов, которые могут успешно разобрать списки переходов как в Windows 7/8, то что доступно (не учитывая специализированные коммерческие комплексы) не работает должным образом для Windows 10.
В этой статье мы определим (в дополнительной информации прикрепленной в наших ресурсах, ссылка ниже) структуру списков переходов в Windows 10 и сравним её с Windows 7/8.
Кроме того, инструмент доказательной концепции JumpListExt (Jump List Extractor) разработан на основе идентифицированной структуры, которая может анализировать списки переходов в Windows 10 как индивидуально, так и совместно.
Было проведено несколько экспериментов по обнаружению попыток противодействия криминальному анализу, таких как уничтожение доказательств, модификация доказательств и подделка доказательств, выполненных на основе записей списков прыжков. Кроме того, мы продемонстрировали тип артефактов, записанных списками переходов четырех популярных веб-браузеров с обычным и приватным режимом просмотра. Наконец, судебная возможность списков переходов в Windows 10 демонстрируется с точки зрения временной шкалы активности, построенной в течение определенного периода времени с использованием списков переходов.

Введение
Списки переходов в качестве новой функции были представлены в июле 2009 года с выпуском Windows 7 и продолжение в дальнейшем версии Windows, включая Windows 10. Списки переходов созданных программными приложениями или операционной системой, поэтому что пользователь может «перейти» непосредственно к недавно открывшимся файлам и папки. Функция отображает ограниченное количество элементов однако в большинстве случаев записанные данные не отображается. В Windows 7/8 пользователи могут настроить количество элементов списка переходов, которые будут отображаться, путем изменения Значение реестра через приложение «regedit» (Lyness, 2012). Тем не менее, нет возможности изменить число прыжков Список элементов, которые будут отображаться в Windows 10, так как это сложно закодированы. Списки переходов сохраняют записи недавно полученных файлов и папок и группировать их в соответствии с приложением.
Прежде чем эта функция была введена, судебные аналитики доступ к краткому списку наиболее используемых (MRU) и большинства Часто используемые элементы (MFU) в реестре Windows (Lyness, 2012). Списки переходов могут предоставить намного больше информации об истории пользователя и действиях, чем MRU и MFU Предметы. Анализ списков переходов может выявить полезную информацию касающиеся доступа к файлам, включая список MRU и MFU используемый пользователем или приложением, имя файла, путь к файлу, MAC (Модифицированные, доступные и созданные) временные метки, объем имя, из которого был обращен файл, а также историю загруженные и загруженные файлы через веб-браузеры. Эти артефакты сохраняются даже после того, как файлы и их цель приложения удаляются из системы (Larson, 2011). С момента выпуска Windows 7 структура и артефакты извлеченные из списков переходов были широко обсуждены в различных судебных сообществах. Lallie and Bains (2012) представил структуру списков переходов в Windows 7.

Эта тема очень объемна, и начал её оформлять так как в разделе Форензика появилась статья Анализ списков переходов (Jump List) Windows 7 и выше но для её применения и понимания нужно изучить много фактов,
которые я и собрал в этом описании, в одном месте, а так же добавил к нам в ресурсы подробное описание (англ.яз).

Инструмент для облегчения рассмотрения
Файлы которые мы им можем рассмотреть
c:\Users\{user}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\
c:\Users\{user}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\
Статья Jump-1.jpg
Рассмотрим на реальном примере как это работает​
Мы рассмотрим из c:\Users\toor\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\ файл 590aee7bdd69b59b.customDestinations-ms цыфры в начале названия файла 590aee7bdd69b59b это App ID
Статья Jump-3.jpg
Статья Jump-4.jpg
Списки App ID:

link removed

P:S
статья не авторская - привел пример и собрал в один архив нужную рабочую информацию и описания (очень не простая тема, написание полноценной статьи пара недель, скорее всего от меня её не будет).
Подробнее у нас в ресурсах (полный разбор с докладов от windows 7 до windows 10) A forensic insight into Windows 7/8.1/10 + Jump Lists

Так же вступление [1 часть] Форензика списков переходов Jump Lists в Windows 7

Для понимания общей картины не помешает:
Форензика Prefetch в Windows
Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
 
Последнее редактирование:
Мы в соцсетях: