Saturday, November 5, 2011

Digital Forensics: Shell Folder

Digital Forensics: Shell Folder
Shell Folder คือค่าตั้งต้นของ path ต่างๆ ที่ windows กำหนดไว้  เช่น   Downloads ,
Desktop , Music, Documents , Pictures เป็นต้น โดยปกติจะอยู่ที่  Drive c: แต่เราสามารถปรับเปลี่ยนไป Drive อื่นได้ โดยเข้าไปแก้ไขใน  registry

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\User Shell Folders


Shell Folder and Default Locations Reference

แต่ละ User : สำหรับบัญชีผู้ใช้ปัจจุบันเส้นทางโฟลเดอร์จะถูกเก็บไว้ในคีย์รีจิสทรีต่อไปนี้:
Shell Folder Name / ValueLocation

%USERPROFILE%\Downloads
AppData%USERPROFILE%\AppData\Roaming
Cache%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
Cookies%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
Desktop%USERPROFILE%\Desktop
Favorites%USERPROFILE%\Favorites
History%USERPROFILE%\AppData\Local\Microsoft\Windows\History
Local AppData%USERPROFILE%\AppData\Local
My Music%USERPROFILE%\Music
My Pictures%USERPROFILE%\Pictures
My Video%USERPROFILE%\Videos
NetHood%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Personal%USERPROFILE%\Documents
PrintHood%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Programs%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
SendTo%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo
Start Menu%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
Startup%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Templates%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates

Registry Timestamps

แต่ละคีย์รีจิสทรีมี timestamp ที่เก็บเวลาในการแก้ไขล่าสุดเช่นเดียวกับโฟลเดอร์ในระบบไฟล์ ข้อมูลดังกล่าวอาจมีประโยชน์ในบางครั้ง  ต่อไปนี้คือวิธีการนำข้อมูลTimestamps ออกมา
Export to text in regedit:
เราสามารถ export  registry ออกมาได้ โดยเลือกนามสกุล .txt  เพื่อดูค่า  last write time
  Last write time





ที่มา:
https://bit.ly/2JDpU98
https://bit.ly/2RCWr24
https://bit.ly/2AMa2yi
https://bit.ly/2yUipqm


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud
at
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....

  • Digital Forensics: ค่าแฮช (hash value)
    Digital Forensics: ค่าแฮช (hash value) ค่า hash คือ ค่าแฮช (hash value) คือ  เกิดจาก วิธีการที่ทำให้ข้อมูลย่อลงแต่มีลักษณะจำเพาะของข้อ...
  • Digital Forensics: Binwalk
    Digital Forensics: Binwalk       จริงๆโปรแกรมนี้ ส่วนใหญ่ มักใช้ในการแข่ง CTF  forensic เจอในโจทย์ตลอด ใครต้องแข่ง ก็ลองศึกษาดูครับมีประโ...
  • Digital Forensics: Chain of Custody
    Digital Forensics: Chain of Custody Chain of custody คือ Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์ห...