Monday, September 27, 2021

Digital Forensics:Windows Artifacts Jump list(Part II)

 Digital Forensics:Windows Artifacts Jump list (Part II) 

Forensic artifacts are the forensic objects that have some forensic value. Any object that contains some data or evidence of something that has occurred like logs, register, hives, and many more. In this section, we will be going through some of the forensic artifacts that a forensic investigator look for while performing a Forensic analysis in Windows.


สิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ ที่มีค่าทางนิติวิทยาศาสตร์บางอย่าง  เช่น  ข้อมูลหรือหลักฐานบางอย่างที่เกิดขึ้น เช่น บันทึก  (event log )  , ค่า Windows Registry  และอื่นๆ อีกมากมาย ในส่วนนี้ เราจะพูดถึงสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ที่ผู้ตรวจสอบพิสูจน์หลักฐานทางดิจิทัลมองหาขณะทำการวิเคราะห์หลักฐานดิจิทัลใน Windows เช่น ข้อมูลใน  Recycle Bin ,Metadata , LNK FilesJump ListsPrefetch Files ,Remote Desktop Protocol Cache

Jump Lists เป็นคุณสมบัติใหม่เปิดตัวในเดือนกรกฎาคม 2009 ด้วยการเปิดตัว Windows 7 และ มีในเวอร์ชันของ Windows   10  

Jump list   ถูกสร้างโดยระบบปฏิบัติการดังนั้น  ผู้ใช้สามารถ “Jump” ได้โดยตรงไปยังไฟล์ (files)(ที่เพิ่งเปิดล่าสุดและโฟลเดอร์ (folders)    ในส่วน Start หรือ Taskbar ข้อมูลที่บันทึกไว้  และแสดงจำนวนรายการที่เคยเรียกใช้

Jump Lists ทำหน้าที่เก็บรายการ การเข้าถึงไฟล์และโฟลเดอร์ล่าสุดที่เราเรียกเปิดโปรแกรมต่างๆ มาว่าจะเป็นไฟล์เอกสาร ไฟล์เพลง ไฟล์วิดีโอ หรือไฟล์อื่นๆ เราเพียงคลิกขวาที่ไอคอน Windows Explorer ที่ Taskbar ก็จะเห็นรายการไฟล์ที่เรียกใช้  สามารถให้ข้อมูลประวัติผู้ใช้ หรือแอปพลิเคชัน ชื่อไฟล์ เส้นทางของไฟล์ MAC (แก้ไข เข้าถึง และสร้าง) Jump list เหล่านี้ยังคงอยู่แม้หลังจากไฟล์และเป้าหมาย แอปพลิเคชันจะถูกลบออกจากระบบแล้ว

Jump List

เป็นรายชื่อของรายการที่ถูกเปิดใช้งานล่าสุด เช่น ไฟล์ โฟลเดอร์ หรือเว็บไซต์ เมื่อคลิกขวาที่โปรแกรมไมโครซอฟท์พาวเวอร์พอยต์ (MS PowerPoint) บนแถบแสดงกำรทำงานของโปรแกรม (Taskbar) จะปรากฏชื่อไฟล์ MS PowerPoint ที่เคยเปิดใช้งานล่าสุด

ตำแหน่งของ  JUMP LISTS

%systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

มาทดสอบและค้นหาข้อมูลที่ได้จาก JUMP LISTS

เมื่อมีการเปิด App ไฟล์ชื่ออะไรบ้าง
  1. ยกตัวอย่าง เปิดโปรแกรม  Microsoft Paint  มีประวัติอะไรบ้าง  หรือเปิดไฟล์อะไรบ้าง


Paint recent Pictures

Windows Artifacts Jump list


2.Recent Items บอกที่อยู่ของไฟล์

Windows Artifacts Jump list

Jump Lists Folders


The jump lists information is stored under the following folders:


C:\Users\[User Profile]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

C:\Users\[User Profile]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations



ตัวอย่าง
1.ทำการสร้างไฟล์รูป และบันทึกบนโฟล์เดอร์  "C:\Users\.....\Download\Location of automaticDestinations-ms files in Windows.jpg"

2.สังเกตุใน Path Location   %systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

   

Windows Artifacts Jump list


ตรวจสอบ Jumplist  ให้คลิกขวาที่ไอคอน Microsoft Paint ที่ Taskbar ?จะมีรายการไฟล์ที่เคยเปิดแสดงออกมา


3.ใช้โปรแกรม  Jump list explorer By Eric Zimmerman Freeware  

การค้นหา ตำแหน่งของ  JUMP LIST โดยใช้ Browser 


Windows Artifacts Jump list
:Windows Artifacts Jump list(

ทำการ copy  path ไปเปิดใน  Jump list explorer

Windows Artifacts Jump list

AppId := 12dc1ea8e34b5a6
AppId Description:  คือ Microsoft Paint 6.1
Lnk File Count :1538
จะเห็นได้ว่ามีการใช้โปรแกรม Microsoft Paint เปิดไฟล์รูปภาพหลายครั้ง โดยสังเกตุจากชื่อไฟล์

Windows Artifacts Jump list


Windows Artifacts Jump list


JumpListsView เป็นฟรีโปรแกรมที่ใช้สำหรับเปิดดูประวัติรายการที่ถูกเปิดใช้งานล่าสุด เช่น ไฟล์ โฟลเดอร์ หรือ เว็บไซต์


4. ใช้โปรแกรม jump list view  by Nir Soft เปิด

JumpListsView is a simple tool that displays the information stored by the 'Jump Lists' feature of Windows 7 and Windows 8. For every record found in the Jump Lists, 


Windows Artifacts Jump list

Application Id = 12dc1ea8e34b5a06 
Application name  ไม่แสดงชื่อโปรแกรม
จะเห็นได้ว่ามีการใช้ AppId นี้เปิดไฟล์รูปภาพหลายครั้ง โดยสังเกตุจากชื่อไฟล์

Windows Artifacts Jump list


Windows Artifacts Jump list


5.เปิดไฟล์รูป แก้ไขเอกสาร สังเกต Date & Time    ใน Path Location


Location: C:\Users\......\Downloads\Jumplist Location of automaticDestinations-ms files in Windows.jpg


‎Created, ‎September ‎27, ‎2021, ‏‎4:04:22 PM
‎Modified, ‎September ‎27, ‎2021, ‏‎4:49:38 PM
‎Accessed, ‎September ‎27, ‎2021, ‏‎4:49:38 PM

Windows Artifacts Jump list


Location: C:\Users\......\AppData\Roaming\Microsoft\Windows\Recent         Shortcut (.lnk)

Windows Artifacts Jump list
‎Created, ,   ‎September ‎27, ‎2021, ‏‎4:04:23 PM
Modified, ‎   September ‎28, ‎2021
‎Accessed, ‎‎ September ‎28, ‎2021

Location: C:\Users\.....\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\12dc1ea8e34b5a6.automaticDestinations-ms

Windows Artifacts Jump list
‎Created, ,  ‎  March ‎5, ‎2019, ‏‎5:09:00 PM
Modified, ‎   ‎ September ‎28, ‎2021
‎Accessed, ‎‎  ‎March ‎5, ‎2019, ‏‎5:09:00 PM



อ่านเพิ่มเติม : jump-list 

                        Windows 10 Jump List and Link File Artifacts - Saved, Copied and Moved


ที่มา :A forensic insight into Windows 10 Jump Lists Bhupendra Singh  , Upasna Singh

        

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....