SHELL ITEMS là gì?
Shell Item dùng để nói đến những tập tin hay data chứa thông tin được dùng để truy cập đến một tập tin khác. Một ví dụ dễ hiểu và phổ biến nhất đó chính là những tập tin Shortcut với extention .INK hay Jumplists và ngoài ra còn có ShellBags.
Nói chung Shell Items có những lợi ích nhất định giúp chúng ta có thể truy cập vào một file, link nào đó một cách tiện lợi và nó theo thói quen của chính người dùng, có thể do chính Windows hay ứng dụng tự động làm việc đó hay do người dùng tùy chỉnh. Chẳng hạn như tự tạo short cut để dễ dàng truy cập hay danh sách nhưng trang web bạn vừa truy cập hay những tập tin PDF, word, excel mới mở gần đây. Ví dụ như hình dưới bạn có thể dễ dàng truy cập vào những tập tin Excel gần đây mà không cần phải vào tận vị trí chứa nó để mở lên và nó đôi khi có thể tiết kiệm khá nhiều thời gian tìm kiếm tập tin đó:
Hay tạo shortcut một thư mục bạn thường xuyên sử dụng ra desktop để tiện truy xuất:
Cấu trúc của một shell items có thể gồm nhiều trường khá phức tạp nên mình sẽ không đi quá chi tiết phần này, nhưng nói chung các trường này có thể cung cấp một số thông tin như type of drive mà file/đối tượng đích đang sử dụng (fixed drive, removable, remote, v.v.). Nó cũng bao gồm đường dẫn đầy đủ của file đích, bao gồm drive letters, volume labels, và Serial Numbers, cũng có thể chứa cả những thông tin về a file đích như timestamps, size, và đôi khi cả những command thực thi với file đích là tập tin thực thi.
Những Shell Items này ngoài lợi ích chúng đem lại cũng là một nguồn thông tin hữu ích cho người điều tra. Nó hữu ích như thế nào hãy cùng xem cụ thể hơn ở ngay phần tiếp nhé!
Shortcut Files
Shortcut file sẽ có phần mở rộng là .LNK chúng có thể được người dụng tạo ra hoặc ứng dụng nào đó tạo ra. Nhưng ở đây trên góc độ điều tra số có một vị trí khá thú vị đó là tại:
C:\Documents and Settings\<Username>\Recent
Đây là vị trí mà các tập tin Shortcut được Windows tự động tạo ra, số file trong thư mục Recent Items tối đa là 149 files. Ví dụ như hình dưới:
Bạn có thể hình dung là, mỗi khi bạn mở một tập tin nào đó mà không phải tập tin thực thi, Windows sẽ tự động tạo ra hai file LNK bao gồm file đích và thư mục mẹ của file đích đó:
Không chỉ thế, điều khá hay là cả khi bản mở một tập tin trên thiết bị ngoại vi như USB chẳng hạn, nó cũng sẽ tạo ra file trong thư mục Recent Items. Bên trong file shortcut sẽ là thông tin timestamp gốc của file, đường dẫn và thông tin driver letter hoặc network share.
Và giả định rằng người dùng hay kẻ tấn công có mở hay chạy một tập tin nào đó, sau đó họ xóa nó đi, nhưng đôi khi trong thư mục Recent Items vẫn có thể có dấu vết của file đó vì file LNK của tập tin đó được tự động tạo ra ở đây. Có nghĩa là thư mục này có thể được sử dụng để xác định một file có tồn tại hay được mở trên hệ thống không khi file không còn tồn tại trên hệ thống nữa.
Đối với windows 10, khi bạn tạo một folder mới trong một vị trí nào đó thì folder đó sẽ xuất hiện 3 file LNK trong Recent Items tương ứng với chính folder đó, parent folder và cả grandparant folder của nó.
Ngoài việc xác định file, folder đó có được mở trên hệ thống không, còn một thông tin quan trọng có thể khai thác, xác định đó chính là ngày mở file, folder đó và cả thời điểm modified nó thông tin của tệp LNK chẳng hạn như hình dưới:
Thời điểm file Test.txt được mở sẽ tương ứng với ngày tạo của tập tin LNK tức là 4:13:48 PM ngày 20/1/2021 và thời điểm modifed tập tin sẽ là 3:57:17Am 21/1/2021. Đương nhiên còn một số ngoại lệ về khi xem những giá trị này và mình sẽ nói dõ hơn ở phần sau.
Còn về công cụ để view những file này, bạn có thể sử dụng LECmd được viết bởi tác giả Eric Zimmerman.
JumLists
Hình trên mà một ví dụ về JumpLists, nó được ứng dụng tạo ra để người dùng có thể dễ dàng truy cập đến những file họ thường sử dụng hay những gì họ ghim-pinned và cả những file mặc định nữa. Task là các hành động phổ biến được thực hiện trong một ứng dụng, áp dụng cho tất cả người dùng của ứng dụng, người dùng không thể ghim hoặc xóa Task.
Một tính năng rất hữu dụng nhưng nó cũng có thể cho ta thông tin, bằng chứng để xác minh việc mở hoặc tạo các tệp không thực thi trên hệ điều hành Windows.
Một đặc điểm khác của JumpLists là chúng có thể vẫn còn trong list sau file đích bị xóa. Chỉ có một số mục được hiển thị trong trong Explorer, còn ngoài ra có hàng trăm mục khác sẽ tồn tại trong JumpLists.
Ví dụ như file Test Lab.docx dù đã bị xóa nhưng trong list vẫn cho thấy rằng file đó đã từng tồn tại trên máy tính này.
JumpLists được bật theo mặc định, tuy nhiên chúng có thể bị vô hiệu hóa từ Control Panel-> Taskbar và Start Menu.
Có hai loại JumpLists và chúng đều nằm trong thư mục Recent: Automatic và Custom
Automatic (được tạo tự động cho từng ứng dụng bởi Windows):
- C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
Thư mục Automatic Destinations chứa danh sách ứng dụng được sắp xếp theo AppID. Tên File sẽ theo định dạng [APPID].automaticDestinations-ms.
Custom
- C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
Custom thì được tạo với thông tin phát triển cụ thể từ nhà phát triển ứng dụng:
Khác với như các tệp LNK, trong Recent folder chúng ta có thể thấy thời gian sửa đổi và thời gian tạo cho mỗi tệp LNK, có thể chỉ cho biết lần đầu tiên và lần cuối cùng một mục được thêm vào mỗi tệp. Tuy nhiên, việc có nhiều bằng chứng cùng chứng minh một hành vi sẽ có thể đưa đến kết luận chính xác hơn.
ShellBags
ShellBags sẽ cho chúng ta thông tin về thói quen sử dụng của người dùng trên máy tính đó, nó cho người điều tra hình dung được người dùng đó đã truy cập vào những folder nào, tập tin nào đã được mở. Nói cách khác nó sẽ có thể phác họa lại hành vi người dùng qua những thư mục mà họ mở. Dưới đây là một ví dụ sử dụng công cụ ShallBagsExplorer:
- NTUSER. DAT\Software\Microsoft\Windows\Shell
- NTUSER.DAT\Software\Microsoft\Windows\ShellNoRoam
- USRCLASS.DAT\LocalSettings\Software\Microsoft\Windows \Shell
- USRCLASS.DAT\LocalSettings\Software\Microsoft\Windows \ShellNoRoain
Trên là nhưng registry key chứa những thông tin về ShellBag. Một lưu ý rằng Shellbag chỉ tạo ra khi một thư mục được mở lần đầu tiên hoặc khi điều chỉnh thư mục đó. Và như ví dụ ở hình trên bạn có thể thấy không chỉ folder mà cả tập tin .zip cũng thấy trong shellbag.