Что скрывают ярлыки?
Что скрывают ярлыки?
Как гласят толковые словари, форенсика - современная наука о раскрытии инцидентов, связанных с компьютерной информацией, исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. И действительно, невероятно сложно удалить все следы работы за компьютером, чтобы профессионал не смог их обнаружить. Сегодня я покажу вам, что скрывают такие, на первый взгляд, безобидные объекты, как ярлыки недавно открытых документов.
При открытии любого файла, будь то электронная книга, текст или изображение, ссылка на него сохраняется в списке недавних документов в виде LNK-файла. Эти файлы находятся на системном диске в папке C:\Users\{пользователь}\AppData\Roaming\Microsoft\Windows\Recent. Давайте посмотрим, какая информация в них записана. Для исследования нам потребуется бесплатная программа Windows File Analyzer.
Скриншот программы Windows File Analyzer
Запускаем программу, в меню инструментов выбираем "Analyze Shortcuts". Windows File Analyzer автоматически выбирает папку с ярлыками недавних документов, но вы можете выбрать нужный вам путь. Через пару секунд в списке появляется вся информация, которая содержится во всех просканированных LNK-файлах.
Информация о диске
Как вы видите, в ярлыках записывается информация о дате и времени доступа к файлам, размер документа с точностью до байта, тип диска, с которого был открыт документ, метка и серийный номер диска, а также MAC-адрес удаленного ресурса, если документ был открыт по сети.
Информация о диске
Теперь давайте представим ситуацию, что сидя за вашим компьютером, кто-то открыл со своей флешки некий документ, поработал с ним и ушел. Требуется доказать, что это был именно тот человек. В списке ярлыков у нас осталась метка тома флешки и ее серийный номер. С помощью сотрудников безопасности просим у подозреваемого предъявить флешку, затем самой обычной командой dir выводим список файлов. Что мы видим? Совпадает время доступа к папке на флешке и время работы с файлом, сохраненное в ярлыке. Совпадает метка тома (точнее, ее отсутствие) и серийный номер тома с данными из ярлыка. Таким образом, с очень большой долей вероятности можно предположить, что именно эта флешка была воткнута в ваш компьютер в указанное время. Аналогично определяется и MAC-адрес сетевого ресурса, если документ был открыт с другого компьютера.
Конечно, можно заморочиться, очистить историю документов или другими способами удалить ярлыки, низкоуровнево отформатировать флешку, поменять серийный номер тома или время доступа к файлам, еще как-нибудь замести следы. Но как и в любой экспертизе, в форенсике имеется достаточно других методов получения информации. Все зависит от заинтересованности заказчика и объема ресурсов, выделенных на расследование.
Просмотров: 2702 | Комментариев: 7
Внимание! Статья опубликована больше года назад, информация могла устареть!
Комментарии
Отзывы посетителей сайта о статье
ManHunter
(29.01.2019 в 22:02):
Ради таких полезных комментариев и стоит писать статьи :)
brute
(28.01.2019 в 10:15):
Exit
Прога Shadow Defender (или deep freeze), поставленная на только что установленную и настроенную винду решает кучу проблем:
- после ручного отката или перезагрузки (как настроишь) - система новая и чистая, без следов, как будто только что установленная - но времении для этой "переустановки" требуется около минуты.
- не нужен антивирус, т.к. все важные данные защищены от изменений. В крайнем случае потеряются рабочие/текущие доки (если вирус/криптор портит неисполняемые файлы)
- не нужна виртуалка - работаешь даже с опасным софтом на живой системе
Прога гибко настраивается - по каждой папке/диску можно выбрать опцию "защищать", "не защищать", "синхронизировать" - сначала не защищать (накапливать изменения), а если всё нормально, то добавлять изменения под защиту. Последние годы запускаю скаченные exe'шники без проверки антивирусами, надо только следить, чтобы не было подключено внешних дисков/флешек/телефонов - они не защищены.
Прога Shadow Defender (или deep freeze), поставленная на только что установленную и настроенную винду решает кучу проблем:
- после ручного отката или перезагрузки (как настроишь) - система новая и чистая, без следов, как будто только что установленная - но времении для этой "переустановки" требуется около минуты.
- не нужен антивирус, т.к. все важные данные защищены от изменений. В крайнем случае потеряются рабочие/текущие доки (если вирус/криптор портит неисполняемые файлы)
- не нужна виртуалка - работаешь даже с опасным софтом на живой системе
Прога гибко настраивается - по каждой папке/диску можно выбрать опцию "защищать", "не защищать", "синхронизировать" - сначала не защищать (накапливать изменения), а если всё нормально, то добавлять изменения под защиту. Последние годы запускаю скаченные exe'шники без проверки антивирусами, надо только следить, чтобы не было подключено внешних дисков/флешек/телефонов - они не защищены.
Exit
(27.01.2019 в 12:52):
Есть еще куча утилит, по выявлению активности
https://www.tzworks.net/prototypes.php
Парень просто фанат исследований!
P.S. "ужаснувшись" сколько хлама хранит винда, с момента ее установки,
решил пройтись ShellBag Analyzer`ом и PrivaZer`ом.
Блин, лучше бы вручную почистил! После этих прог, поломалось меню SendTo. Если у кого то тоже будет такой глюк, то решил проблему vbs скриптом, с этого сайта - https://www.winhelponline.com/...endtofix.htm
P.S. перерегистрация dll и танцы с бубном вокруг реестра не помогали.
https://www.tzworks.net/prototypes.php
Парень просто фанат исследований!
P.S. "ужаснувшись" сколько хлама хранит винда, с момента ее установки,
решил пройтись ShellBag Analyzer`ом и PrivaZer`ом.
Блин, лучше бы вручную почистил! После этих прог, поломалось меню SendTo. Если у кого то тоже будет такой глюк, то решил проблему vbs скриптом, с этого сайта - https://www.winhelponline.com/...endtofix.htm
P.S. перерегистрация dll и танцы с бубном вокруг реестра не помогали.
Василий
(26.01.2019 в 15:38):
Lastactivityview от NirSoft тоже много интересного показывает...
и ShellBag Analyzer тоже) всё как на ладони)))
и ShellBag Analyzer тоже) всё как на ладони)))
Exit
(26.01.2019 в 09:37):
У мну отключена эта опция - недавние документы, поэтому прога ничего не нашла, но это не является панацеей ))
Заглянул в FSViewer.db (кэш FastStone Image Viewer) и "порадовался", фоток уже давно нет, а превьюшки сохранились.
Ничего криминального не имею, но неприятно то, что вся личная жизнь как на ладони, только дай доступ к компу...
P.S. Винда много чего пишет в реестр и логи.
Один файл подкачки чего стоит!
Посмотреть и удалить историю USB устройств можно прогой USB Oblivion
https://www.cherubicsoft.com/p.../usboblivion
Тоже много интересного покажет )))
Так что не зря придумали Kali Linux и прочие Win PE
Спасибо за обзор!
Заглянул в FSViewer.db (кэш FastStone Image Viewer) и "порадовался", фоток уже давно нет, а превьюшки сохранились.
Ничего криминального не имею, но неприятно то, что вся личная жизнь как на ладони, только дай доступ к компу...
P.S. Винда много чего пишет в реестр и логи.
Один файл подкачки чего стоит!
Посмотреть и удалить историю USB устройств можно прогой USB Oblivion
https://www.cherubicsoft.com/p.../usboblivion
Тоже много интересного покажет )))
Так что не зря придумали Kali Linux и прочие Win PE
Спасибо за обзор!
u-b0at
(26.01.2019 в 00:09):
э-э-э-э-э-э... а если работать с загрузочной флешки или CD/DVD-загрузочной "оси", то "следы" работы с документом останутся или как?
Добавить комментарий
Заполните форму для добавления комментария
Материалы, опубликованные на этом сайте, не рекомендуются к просмотру лицам в возрасте до 16 лет без присутствия взрослых.
Вам помог этот сайт?
Поблагодарили 34,349 раз
Поблагодарили 34,349 раз
Буду очень благодарен, если размеcтите мою кнопочку:
 |
Яндекс ИКС: 380 |
 |
 |
А то что за дела? Молча пришел, натоптал, почитал и свали?
Неее, это не наш метод! )))обязательно расскажем что знаем или наоборот, зададим глупые вопросы ))
Всегда рад твоим статьям и исследованиям *like*