Blog. Just Blog

Что скрывают ярлыки?

Версия для печати Добавить в Избранное Отправить на E-Mail | Категория: Software | Автор: ManHunter
Что скрывают ярлыки?
Что скрывают ярлыки?

Как гласят толковые словари, форенсика - современная наука о раскрытии инцидентов, связанных с компьютерной информацией, исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. И действительно, невероятно сложно удалить все следы работы за компьютером, чтобы профессионал не смог их обнаружить. Сегодня я покажу вам, что скрывают такие, на первый взгляд, безобидные объекты, как ярлыки недавно открытых документов.

При открытии любого файла, будь то электронная книга, текст или изображение, ссылка на него сохраняется в списке недавних документов в виде LNK-файла. Эти файлы находятся на системном диске в папке C:\Users\{пользователь}\AppData\Roaming\Microsoft\Windows\Recent. Давайте посмотрим, какая информация в них записана. Для исследования нам потребуется бесплатная программа Windows File Analyzer.

Скриншот программы Windows File Analyzer
Скриншот программы Windows File Analyzer

Запускаем программу, в меню инструментов выбираем "Analyze Shortcuts". Windows File Analyzer автоматически выбирает папку с ярлыками недавних документов, но вы можете выбрать нужный вам путь. Через пару секунд в списке появляется вся информация, которая содержится во всех просканированных LNK-файлах.

Информация о диске
Информация о диске

Как вы видите, в ярлыках записывается информация о дате и времени доступа к файлам, размер документа с точностью до байта, тип диска, с которого был открыт документ, метка и серийный номер диска, а также MAC-адрес удаленного ресурса, если документ был открыт по сети.

Информация о диске
Информация о диске

Теперь давайте представим ситуацию, что сидя за вашим компьютером, кто-то открыл со своей флешки некий документ, поработал с ним и ушел. Требуется доказать, что это был именно тот человек. В списке ярлыков у нас осталась метка тома флешки и ее серийный номер. С помощью сотрудников безопасности просим у подозреваемого предъявить флешку, затем самой обычной командой dir выводим список файлов. Что мы видим? Совпадает время доступа к папке на флешке и время работы с файлом, сохраненное в ярлыке. Совпадает метка тома (точнее, ее отсутствие) и серийный номер тома с данными из ярлыка. Таким образом, с очень большой долей вероятности можно предположить, что именно эта флешка была воткнута в ваш компьютер в указанное время. Аналогично определяется и MAC-адрес сетевого ресурса, если документ был открыт с другого компьютера.

Конечно, можно заморочиться, очистить историю документов или другими способами удалить ярлыки, низкоуровнево отформатировать флешку, поменять серийный номер тома или время доступа к файлам, еще как-нибудь замести следы. Но как и в любой экспертизе, в форенсике имеется достаточно других методов получения информации. Все зависит от заинтересованности заказчика и объема ресурсов, выделенных на расследование.

Поделиться ссылкой ВКонтакте Поделиться ссылкой на Facebook Поделиться ссылкой на LiveJournal Поделиться ссылкой в Мой Круг Добавить в Мой мир Добавить на ЛиРу (Liveinternet) Добавить в закладки Memori Добавить в закладки Google
Просмотров: 1181 | Комментариев: 7

Комментарии

Отзывы посетителей сайта о статье
Exit (30.01.2019 в 12:44):
ManHunter, так мы, это, тоже стараемся быть полезными ))
А то что за дела? Молча пришел, натоптал, почитал и свали?
Неее, это не наш метод! )))обязательно расскажем что знаем или наоборот, зададим глупые вопросы ))
Всегда рад твоим статьям и исследованиям *like*
ManHunter (29.01.2019 в 22:02):
Ради таких полезных комментариев и стоит писать статьи :)
brute (28.01.2019 в 10:15):
Exit
Прога Shadow Defender (или deep freeze), поставленная на только что установленную и настроенную винду решает кучу проблем:
- после ручного отката или перезагрузки (как настроишь) - система новая и чистая, без следов, как будто только что установленная - но времении для этой "переустановки" требуется около минуты.
- не нужен антивирус, т.к. все важные данные защищены от изменений. В крайнем случае потеряются рабочие/текущие доки (если вирус/криптор портит неисполняемые файлы)
- не нужна виртуалка - работаешь даже с опасным софтом на живой системе
Прога гибко настраивается - по каждой папке/диску можно выбрать опцию "защищать", "не защищать", "синхронизировать" - сначала не защищать (накапливать изменения), а если всё нормально, то добавлять изменения под защиту. Последние годы запускаю скаченные exe'шники без проверки антивирусами, надо только следить, чтобы не было подключено внешних дисков/флешек/телефонов - они не защищены.
Exit (27.01.2019 в 12:52):
Есть еще куча утилит, по выявлению активности
https://www.tzworks.net/prototypes.php
Парень просто фанат исследований!
P.S. "ужаснувшись" сколько хлама хранит винда, с момента ее установки,
решил пройтись ShellBag Analyzer`ом и PrivaZer`ом.
Блин, лучше бы вручную почистил! После этих прог, поломалось меню SendTo. Если у кого то тоже будет такой глюк, то решил проблему vbs скриптом, с этого сайта - https://www.winhelponline.com/...endtofix.htm
P.S. перерегистрация dll и танцы с бубном вокруг реестра не помогали.
Василий (26.01.2019 в 15:38):
Lastactivityview от NirSoft тоже много интересного показывает...
и ShellBag Analyzer тоже) всё как на ладони)))
Exit (26.01.2019 в 09:37):
У мну отключена эта опция - недавние документы, поэтому прога ничего не нашла, но это не является панацеей ))
Заглянул в FSViewer.db (кэш FastStone Image Viewer) и "порадовался", фоток уже давно нет, а превьюшки сохранились.
Ничего криминального не имею, но неприятно то, что вся личная жизнь как на ладони, только дай доступ к компу...

P.S. Винда много чего пишет в реестр и логи.
Один файл подкачки чего стоит!

Посмотреть и удалить историю USB устройств можно прогой USB Oblivion
https://www.cherubicsoft.com/p.../usboblivion
Тоже много интересного покажет )))

Так что не зря придумали Kali Linux и прочие Win PE

Спасибо за обзор!
u-b0at (26.01.2019 в 00:09):
э-э-э-э-э-э... а если работать с загрузочной флешки или CD/DVD-загрузочной "оси", то "следы" работы с документом останутся или как?

Добавить комментарий

Заполните форму для добавления комментария
Имя*:
Текст комментария (не более 2000 символов)*:

*Все поля обязательны для заполнения.
Комментарии, содержащие рекламу, ненормативную лексику, оскорбления и т.п., а также флуд и сообщения не по теме, будут удаляться. Нарушителям может быть заблокирован доступ к сайту.
Наверх
Powered by PCL's Speckled Band Engine 0.2 RC3
© ManHunter / PCL, 2008-2019
При использовании материалов ссылка на сайт обязательна
Время генерации: 0.07 сек. / MySQL: 2 (0.0031 сек.) / Память: 4.75 Mb
Наверх