Windows 10에서의 ShellBags
Windows 10에서의 ShellBags
Win10 1903 버전부터 Shellbags에는 nodeslot이라는 번호만 기록하고 데이터는 ShellbagMRU에 저장. 분석 시 두 개를 연계하여 분석해야 함
ShellBag/ShellBagMRU 포렌식적 의미
- 존재하는 폴더의 삭제/덮어쓰기에 대한 증거 추적.
- Explorer를 통한 폴더 접근에 대한 MAC 타임 추적,
- 사용자가 특정 폴더에 접근한 시간
- Item Type이 Hidden Folder인 것이 존재한다면 Hidden Folder에 대한 존재 여부를 확인할 수 있다.
- Network Drive나 External Device 내 폴더 접근 이력 조회(정보 유출 조사)
현재 삭제된 디렉토리에 대한 열람 및 접근 등의 과거 행위도 남아 있으므로 포렌식 관점에서 중요한 의미가 있다.
셀백 분석에서 바탕화면(DeskTop Folder)은 폴더 내 파일까지 분석 및 조회가 된다. 또한 압축 파일도 분석된다.
압축 파일을 압축 해제할려면 어딘가 대상 폴더가 있어야 하기 때문으로 해석된다.
hive 위치
Windows XP
- NTUSER.DAT\Software\Microsoft\Windows\Shell
- NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam
- NTUSER.DAT\Software\Microsoft\Windows\StreamMRU
Windows 7
- NTUSER.DAT\Software\Microsoft\Windows\Shell
- UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell
sbag util이 조사하는 레지스트리 하위 값은 다음과 같다.
- NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
- NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
- NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\BagMRU
- NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam\Bags
- UsrClass.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
- UsrClass.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags
- UsrClass.DAT\Local Settings\Software\Microsoft\Windows\ShellNoRoam\BagMRU
- UsrClass.DAT\Local Settings\Software\Microsoft\Windows\ShellNoRoam\Bags
Shellbag item Type
분석 도구
demo 버전일 경우, 일부 데이터는 Full 내용으로 보이지 않을 수 있다. 시간변환에 대한 옵션이 없기 때문에,
디폴트인 UTC 기준으로 데이터가 정리된다.
sbag64
hive 위치 확인
E:\InstallFiles\Forensic\sbag64.v.0.48.win>sbag64.exe -livehives
Valid license can't be found, contact info@tzworks.net to purchase a commercial license.
실행
C:\>sbag64 -csv c:\users\administrator\ntuser.dat > c:\ntuser_sbag.csv
결과
Bag Number: "Bags" subkey 식별자
Registry key last write time: 폴더 최초 접근 시간 혹은 마지막으로 참조된 시간
Folder name
Full path
Embedded creation date / time: BagMRU Key값이 만들어진 시간
Embedded modify date / time: BagMRU Key값이 수정된 시간
Embedded access date / time: BagMRU Key값이 접근된 시간
Eric Zimmerman_s tools
ZIP 파일 외 일반 파일도 7개 분석됨 (?)
원격폴더 접속도 보인다 : "Nerwork Location" 의 Shell Type값을 가진다.
shellbag_analyzer_cleaner
Type 보면 "Old/deleted Folder", "Folders on Network/External Device"도 있다. 또한 탐색기에서의 이동 뿐만 아니라 CMD CD명령으로 이동한 폴더도 표시된다.
(2020-06-05) 테스트 결과 압축파일이나 바탕화면 내 파일 접근해도 안보임
원격폴더 접속도 보인다 : "Folders on Network / External Device" 의 Shell Type값을 가진다.
Windows Shellbag forensics in Depth
'Forensic > Disk Forensic' 카테고리의 다른 글
| Windows 설치날짜 정보 확인 유의 사항 (0) | 2023.02.14 |
|---|---|
| 바로가기(shortcut)과 lnk의 차이 (0) | 2023.02.14 |
| 파일시스템-파일변경분석 (3) | 2020.03.12 |
| 파일시스템-OS기본파일 디지털 서명 및 무결성 검사 (0) | 2020.03.12 |
| 파일시스템-장치드라이버 디지털서명 검사 (0) | 2020.03.12 |
