Digital Forensics:Windows Artifacts Jump list (Part II)
Forensic artifacts are the forensic objects that have some forensic value. Any object that contains some data or evidence of something that has occurred like logs, register, hives, and many more. In this section, we will be going through some of the forensic artifacts that a forensic investigator look for while performing a Forensic analysis in Windows.
Jump Lists เป็นคุณสมบัติใหม่เปิดตัวในเดือนกรกฎาคม 2009 ด้วยการเปิดตัว Windows 7 และ มีในเวอร์ชันของ Windows 10
Jump list ถูกสร้างโดยระบบปฏิบัติการดังนั้น ผู้ใช้สามารถ “Jump” ได้โดยตรงไปยังไฟล์ (files)(ที่เพิ่งเปิดล่าสุดและโฟลเดอร์ (folders) ในส่วน Start หรือ Taskbar ข้อมูลที่บันทึกไว้ และแสดงจำนวนรายการที่เคยเรียกใช้
Jump List
เป็นรายชื่อของรายการที่ถูกเปิดใช้งานล่าสุด เช่น ไฟล์ โฟลเดอร์ หรือเว็บไซต์ เมื่อคลิกขวาที่โปรแกรมไมโครซอฟท์พาวเวอร์พอยต์ (MS PowerPoint) บนแถบแสดงกำรทำงานของโปรแกรม (Taskbar) จะปรากฏชื่อไฟล์ MS PowerPoint ที่เคยเปิดใช้งานล่าสุด
%systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
เมื่อมีการเปิด App ไฟล์ชื่ออะไรบ้าง
1. ยกตัวอย่าง เปิดโปรแกรม Microsoft Paint มีประวัติอะไรบ้าง หรือเปิดไฟล์อะไรบ้าง
Paint recent Pictures
2.Recent Items บอกที่อยู่ของไฟล์
Jump Lists Folders
The jump lists information is stored under the following folders:
C:\Users\[User Profile]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
C:\Users\[User Profile]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
1.ทำการสร้างไฟล์รูป และบันทึกบนโฟล์เดอร์ "C:\Users\.....\Download\Location of automaticDestinations-ms files in Windows.jpg"
2.สังเกตุใน Path Location %systemdrive%\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
3.ใช้โปรแกรม Jump list explorer By Eric Zimmerman Freeware
การค้นหา ตำแหน่งของ JUMP LIST โดยใช้ Browser
ทำการ copy path ไปเปิดใน Jump list explorer
JumpListsView เป็นฟรีโปรแกรมที่ใช้สำหรับเปิ ดดูประวัติรายการที่ถูกเปิดใช้ งานล่าสุด เช่น ไฟล์ โฟลเดอร์ หรือ เว็บไซต์
4. ใช้โปรแกรม jump list view by Nir Soft เปิด
JumpListsView is a simple tool that displays the information stored by the 'Jump Lists' feature of Windows 7 and Windows 8. For every record found in the Jump Lists,
5.เปิดไฟล์รูป แก้ไขเอกสาร สังเกต Date & Time ใน Path Location
Location: C:\Users\.....\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\12dc1ea8e34b5a6.automaticDestinations-ms
อ่านเพิ่มเติม : jump-list
Windows 10 Jump List and Link File Artifacts - Saved, Copied and Moved
ที่มา :A forensic insight into Windows 10 Jump Lists Bhupendra Singh , Upasna Singh
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud
No comments:
Post a Comment