Windows Jump List Forensics
Adli vakalar bakımından baktığımızda şüphelinin geçmişte yaptığı işlemler hakkında bilgi vermektedir. Jump List'in en büyük avantajı ise uygulama silinse dahi bu veriler silinmemektedir. Adli bilişimci için önemli kısım bu uygulamaların zaman çizelgesinde listelenmesidir. İşletim sistemine göre değişiklik gösterdiği bilinmektedir.
Jump List Nedir?
Windows 7 ile bizlere sunulan, kullanıcıların en çok kullandığı, ziyaret ettiği dokümanlara, web sitelerine, müziklere veya resimlere hızlı erişim sağlanması için yapılmıştır.
Görev çubuğunda bulunan uygulamaların ikonlarına sağ tıklayarak uygulamanın Jump Listlerine erişebiliriz. Veyahut başlat menüsündeki uygulamalara sağ tıklayıpta Jump Listlere erişim sağlayabiliriz.
Uygulamalardaki Jump Listler uygulamadan uygulamaya değişiklik göstermektedir. Örnek olarak bir Dosya Yöneticisinde belgeler, resimler bulunurken Opera tarayıcısında siteler bulunmaktadır.
Bu listeler sayesinde kullanıcının girmiş olduğu veriler hakkında bilgi sahibi olabiliriz.
Jump List Verileri Nerede Kaydedilir?
Jump Liste'de ki veriler altta verdiğim iki uzantıda kaydedilmektedir.
CustomDestination: Uygulamalar tarafından oluşturulmaktadır.
AutomaticDestination: Sistem tarafından oluşturulmaktadır.
Buralarda bulunan dosyalar -ms dosyalar şeklinde saklanmaktadır. Burada bulunan dosyalar text editörü ile açıldığında okunabilir veriler şeklinde çıkmaz. Ancak içerisinde bazı okunabilir değerler bulunmaktadır. Örnek aşağıdaki resim
Jump List Application ID (AppID) Nedir?
CustomDestination ve AutomaticDestination ögelerinde bulunan uygulama için oluşturulmuş kimliklerdir. AppID'ler her uygulama için farklıdır. Genel olarak hepsi için bir değer belirlenmiştir ancak kullanıcı tarafından değiştirilebilir. Bu kimlikler değiştirilmediyse aşağıdaki listedeki gibi değerler alırlar. [url]https://community.malforensics.com/t/list-of-jump-list-ids/158 [/URL]
Jump Lister
Jump Lister uygulaması ile AutomaticDestination ve CustomDestination dosyalarında oluşan -ms verilerini okuyabilirsiniz. Uygulamayı indirmek için https://github.com/woanware/JumpLister tıklayınız. Uygulamayı indirdikten sonra "File" seçeneğine tıklayınız Daha sonra Load seçeneğine tıklayınız. Burada ister AutomaticDestination, ister CustomDestination konumlarını girip, verileri okuyabilirsiniz.
Solda bulunan Destlist kısmına tıklayarak veriler ile ilgili NetBIOS, MAC adresi, Data ve dosyanın oluşturulma, kaydedilme verilerine ulaşabilirsiniz.
Jump List Verilerini Devre Dışı Bırakma
Masaüstüne gelerek sağ tık > kişileştir diyelim.
Başlat kısmına gelerek "En son açılan ögeleri Başlangıç menüsündeki veya görev çubuğundaki Atlama Listeleri'nde ve Dosya Gezgini Hızlı Erişimi'nde göster" seçeneğini kapatalım.
Gördüğünüz gibi görev çubuğundaki Opera tarayıcısındaki Jump List'ler kapandı. Yukarıdaki görsellere bakarak kapatılmadan önceki Jump List'lere bakabilirsiniz.
Konum bu kadardı başka bir konuda görüşmek üzere sağlıcakla..
Adli vakalar bakımından baktığımızda şüphelinin geçmişte yaptığı işlemler hakkında bilgi vermektedir. Jump List'in en büyük avantajı ise uygulama silinse dahi bu veriler silinmemektedir. Adli bilişimci için önemli kısım bu uygulamaların zaman çizelgesinde listelenmesidir. İşletim sistemine göre değişiklik gösterdiği bilinmektedir.
Jump List Nedir?
Windows 7 ile bizlere sunulan, kullanıcıların en çok kullandığı, ziyaret ettiği dokümanlara, web sitelerine, müziklere veya resimlere hızlı erişim sağlanması için yapılmıştır.
Görev çubuğunda bulunan uygulamaların ikonlarına sağ tıklayarak uygulamanın Jump Listlerine erişebiliriz. Veyahut başlat menüsündeki uygulamalara sağ tıklayıpta Jump Listlere erişim sağlayabiliriz.
Uygulamalardaki Jump Listler uygulamadan uygulamaya değişiklik göstermektedir. Örnek olarak bir Dosya Yöneticisinde belgeler, resimler bulunurken Opera tarayıcısında siteler bulunmaktadır.
Bu listeler sayesinde kullanıcının girmiş olduğu veriler hakkında bilgi sahibi olabiliriz.
Jump List Verileri Nerede Kaydedilir?
Jump Liste'de ki veriler altta verdiğim iki uzantıda kaydedilmektedir.
Kod:
C:\Users\kullanıcı_adı\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
Kod:
C:\Users\kullanıcı_adı\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
CustomDestination: Uygulamalar tarafından oluşturulmaktadır.
AutomaticDestination: Sistem tarafından oluşturulmaktadır.
Buralarda bulunan dosyalar -ms dosyalar şeklinde saklanmaktadır. Burada bulunan dosyalar text editörü ile açıldığında okunabilir veriler şeklinde çıkmaz. Ancak içerisinde bazı okunabilir değerler bulunmaktadır. Örnek aşağıdaki resim
Jump List Application ID (AppID) Nedir?
CustomDestination ve AutomaticDestination ögelerinde bulunan uygulama için oluşturulmuş kimliklerdir. AppID'ler her uygulama için farklıdır. Genel olarak hepsi için bir değer belirlenmiştir ancak kullanıcı tarafından değiştirilebilir. Bu kimlikler değiştirilmediyse aşağıdaki listedeki gibi değerler alırlar. [url]https://community.malforensics.com/t/list-of-jump-list-ids/158 [/URL]
Jump Lister
Jump Lister uygulaması ile AutomaticDestination ve CustomDestination dosyalarında oluşan -ms verilerini okuyabilirsiniz. Uygulamayı indirmek için https://github.com/woanware/JumpLister tıklayınız. Uygulamayı indirdikten sonra "File" seçeneğine tıklayınız Daha sonra Load seçeneğine tıklayınız. Burada ister AutomaticDestination, ister CustomDestination konumlarını girip, verileri okuyabilirsiniz.
Solda bulunan Destlist kısmına tıklayarak veriler ile ilgili NetBIOS, MAC adresi, Data ve dosyanın oluşturulma, kaydedilme verilerine ulaşabilirsiniz.
Jump List Verilerini Devre Dışı Bırakma
Masaüstüne gelerek sağ tık > kişileştir diyelim.
Başlat kısmına gelerek "En son açılan ögeleri Başlangıç menüsündeki veya görev çubuğundaki Atlama Listeleri'nde ve Dosya Gezgini Hızlı Erişimi'nde göster" seçeneğini kapatalım.
Gördüğünüz gibi görev çubuğundaki Opera tarayıcısındaki Jump List'ler kapandı. Yukarıdaki görsellere bakarak kapatılmadan önceki Jump List'lere bakabilirsiniz.
Konum bu kadardı başka bir konuda görüşmek üzere sağlıcakla..
Son düzenleme: