Saturday, October 27, 2012

Digital Forensics:Jump list

Digital Forensics:Jump list

Jump list เป็นคุณลักษณะที่นำมาใช้ใน Windows 7 ช่วยให้คุณสามารถดูเอกสารล่าสุดในโปรแกรมที่ถูก Pin ไว้ที่ทาสก์บาร์ของคุณ รูปภาพเป็นตัวอย่างของJump listใน Windows 7 

Jump Lists ที่ว่านี่ จะเป็นรายการทางลัดการแสดงผลประวัติรายการที่เคยถูกเรียกใช้งานบ่อยๆ ไม่ว่าจะเป็นไฟล์เอกสาร Microsoft Office, เว็บเบราว์เซอร์, File Explorer, โปรแกรมมัลติมีเดีย, Text Editor ต่างๆ, ฯลฯ โดยเมื่อมีการเปิดเรียกใช้งานตัวโปรแกรม แล้วผู้ใช้งานสั่งคลิกขวาที่ทาสก์บาร์ ก็จะมีประวัติรายการรายชื่อไฟล์ที่เคยถูกเรียกใช้งานแสดงขึ้นมา

Jump list ทำหน้าที่เก็บรายการไฟล์ล่าสุดที่เราเรียกเปิดโปรแกรมต่างๆ มาว่าจะเป็นไฟล์เอกสาร ไฟล์เพลง ไฟล์วิดีโอ หรือไฟล์อื่นๆ เราเพียงคลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ก็จะเห็นรายการไฟล์ที่เรียกใช้ จุดประสงค์ของฟีเจอร์นี้ก็เพื่อให้ผู้ใช้คลิกเลือกไฟล์ที่เคยเปิดใช้แล้วที่นี่ ในกรณีที่ต้องการใช้ใหม่ในครั้งต่อไป จะได้รวดเร็วไม่ต้องไปคลิกที่ตัวไฟล์หรือโปรแกรม แต่ถ้าคุณเป็นคนที่ไม่ต้องการให้คนอื่นมาคลิกดูว่าคุณเคยเปิดใช้ไฟล์อะไรมาก่อน ก็สามารถเอาชื่อไฟล์ออกจากรายการได้

วิธีล้างรายการไฟล์ทำได้ดังนี้
ให้คลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ?จะมีรายการไฟล์แสดงออกมาให้คลิกขวาที่รายการที่ต้องการเอาออกเลือกคำสั่ง Remove form this list

 
รูปจาก notebookspec.com

 

ในกรณีที่ไม่ต้องการให้ Jump List จำค่าการใช้งานไฟล์เลย ก็ทำได้โดย ให้คลิกขวาที่ Taskbar เลือกคำสั่ง Properties ที่หน้าต่าง Taskbar Properties มาที่แท็บ Jump Lists ให้คลิกเอาเครื่องหมายถูกออกจาก
Store recently opened programs และ Store and display recently opened items in Jump Lists แล้วคลิก OK

 

รูปจาก notebookspec.com

 Jump List files are created on a per user basis, and located (the AppData directory is hidden by default from the user):
\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\

%systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

Episode 16: “Quick Win” files #2 - Jumplists-Part 1

Episode 17: “Quick Win” files #2 - Jumplists-Part 2

 

 

ref:

jumplist

notebookspec.com jump-list

forensic-analysis-of-windows-7-jump-lists/

windows-10-jump-list-forensics/ 


ศึกษาเพิ่มเติม Windows Artifacts Jump list(Part II)


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Sunday, October 7, 2012

Digital Forensics:When a partition was created/Modify (Master File Table)

Digital Forensics:When a partition was created/Modify (Master File Table)


 วันนี้มาดูวิธีตรวจสอบ เวลาที่พาร์ติชั่นถูกสร้างขึ้นและวันเวลาที่ติดตั้ง windows

MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ รายละเอียดของไฟล์และไดเร็กทอรี่ทั้งหมด ในไดร์ฟนั้นๆ

ตัวอย่างที่ 1 $MFT  Master File Table   Date Create 26-3-2012

ตัวอย่างที่ 1 Windows XP 

$MFT  Master File Table   Date Create 26-3-2012

                                          Date Modify 26-3-2012

                                          Date Access 26-3-2012

โดยปกติไฟล์ $MFT จะถูกสร้างขึ้นโดยอัตโนมัติเมื่อมีการฟอร์แมตหรือเปลี่ยนพาร์ติชันของดิสก์เป็น NTFS โดยวันที่และเวลาที่ไฟล์ $MFT ถูกสร้างขึ้น (หรือวันที่และเวลาที่ดิสก์ถูกฟอร์แมต) จะถูกระบุอยู่ในคุณลักษณะของไฟล์ $MFT ที่หัวข้อ Date created ซึ่งในกรณีโดยส่วนใหญ่ที่ดิสก์ดังกล่าวถูกติดตั้งระบบปฏิบัติการ ไฟล์ของระบบปฏิบัติการจะมีวันที่และเวลาที่ถูกสร้างใกล้เคียงหรือสอดคล้องกับค่า Date created ใน $MFT ตามรูปภาพ ตัวอย่างที่ 1

Original Install Date:
Windows Original Install Date: 26-3-2012

ตัวอย่างที่ 2 Windows Original Install Date: 24-9-2019    

ตัวอย่างที่ 2  Windows 7 Professional 

$MFT  Master File Table   Date Create: 24-9-2019

           Windows Original Install Date:     24-9-2019                         


จุดสังเกต
 1 .  $MFT  Master File Table   (MAC TIme)
 2.  Systeminfo (Original Install Date)
 3.  Volume Serial Number  ของ Partition



อ่านเพิ่มเต้ิม

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....