Saturday, November 5, 2011

Digital Forensics: Shell Folder

Digital Forensics: Shell Folder
Shell Folder คือค่าตั้งต้นของ path ต่างๆ ที่ windows กำหนดไว้  เช่น   Downloads ,
Desktop , Music, Documents , Pictures เป็นต้น โดยปกติจะอยู่ที่  Drive c: แต่เราสามารถปรับเปลี่ยนไป Drive อื่นได้ โดยเข้าไปแก้ไขใน  registry

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\User Shell Folders


Shell Folder and Default Locations Reference

แต่ละ User : สำหรับบัญชีผู้ใช้ปัจจุบันเส้นทางโฟลเดอร์จะถูกเก็บไว้ในคีย์รีจิสทรีต่อไปนี้:
Shell Folder Name / ValueLocation

%USERPROFILE%\Downloads
AppData%USERPROFILE%\AppData\Roaming
Cache%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
Cookies%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
Desktop%USERPROFILE%\Desktop
Favorites%USERPROFILE%\Favorites
History%USERPROFILE%\AppData\Local\Microsoft\Windows\History
Local AppData%USERPROFILE%\AppData\Local
My Music%USERPROFILE%\Music
My Pictures%USERPROFILE%\Pictures
My Video%USERPROFILE%\Videos
NetHood%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Network Shortcuts
Personal%USERPROFILE%\Documents
PrintHood%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
Programs%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Recent%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
SendTo%USERPROFILE%\AppData\Roaming\Microsoft\Windows\SendTo
Start Menu%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu
Startup%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Templates%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Templates

Registry Timestamps

แต่ละคีย์รีจิสทรีมี timestamp ที่เก็บเวลาในการแก้ไขล่าสุดเช่นเดียวกับโฟลเดอร์ในระบบไฟล์ ข้อมูลดังกล่าวอาจมีประโยชน์ในบางครั้ง  ต่อไปนี้คือวิธีการนำข้อมูลTimestamps ออกมา
Export to text in regedit:
เราสามารถ export  registry ออกมาได้ โดยเลือกนามสกุล .txt  เพื่อดูค่า  last write time
  Last write time





ที่มา:
https://bit.ly/2JDpU98
https://bit.ly/2RCWr24
https://bit.ly/2AMa2yi
https://bit.ly/2yUipqm


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud
at
Labels: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

(ISC)² Certified in Cybersecurity (CC) certification(Certification Renewal)

(ISC)² Certified in Cybersecurity (CC) Certification(Certification Renewal) การต่ออายุใบรับรอง   (ISC)² Certified in Cybersecurity (CC)   เน...

  • DIGITAL FORENSICS:How to analyze WebCacheV01.dat
    DIGITAL FORENSICS:How to analyze WebCacheV01.dat When you visit any website, a web browser writes internet history. In Internet Explorer 10 ...
  • DIGITAL FORENSICS: BINWALK CTF
     DIGITAL FORENSICS: BINWALK CTF วันนี้แอดมาแนะนำหลักสูตร ด้านความมั่นคงปลอดภัยไซเบอร์ (Basic Cyber security) สำหรับผู้เริ่มต้นศึกษามี Lab ให...
  • Digital Forensics:Using FTK Imager on CLI with Mac OS, Macbook
    Digital Forensics: Using FTK Imager on CLI with Mac OS, Macbook การทำสำเนาพยานหลักฐานดิจิทัล โดยใช้โปรแกรม  FTK Imager ผ่านคำสั่ง command li...