继之后,今天航哥又给大家带来一个介质取证中的关键技术点,它可以协助办案人员快速缩小线索排查范围、拓展挖掘隐藏线索,也可以在无法查看加密分区时,了解加密分区历史数据,还能在U盘等挂载设备检材缺失情况下,快速获取挂载设备中的文件信息。
当然除了实战,在很多比武工作中,它也可以带来一些意想不到的惊喜!
什么是Shellbags?
Shellbags是Windows为了提升用户交互体验而设定的特殊注册表,它能够记录我们对文件夹的操作,包括记录文件夹的访问、创建、修改时间,以及文件夹的视图偏好设置(如图标大小、位置、视图模式「例如列表、详细信息、平铺」和窗口大小)等等。
Shellbags的三大特性
Shellbags具备以下三大特性:
【自带时间戳】Shellbags能够记住文件夹最后一次写入的时间。
【“不被删除”】Shellbags不会因文件夹被删除而被动清除对应文件夹的数据,三方应用也不会主动清理Shellbags注册表。
【记录范围广】Shellbags记录的范围很广,除了本机,还包括挂载的设备以及挂载的网络驱动器中的文件夹操作记录。
也正因为Shellbags的这三大特性,使其能够在一些特定取证场景下,让办案人员占据“上帝视角”,纵观全局行为数据,快速挖掘案件线索。
Shellbags在取证中的应用
快速缩小线索排查范围
一台电脑里面的文件夹个数几乎以十万计或者百万计,甚至更多。在这么多的文件夹里面想要找到一个“可疑文件夹”,犹如大海捞针。
而Shellbags却能够快速从茫茫文件夹中筛出可疑的文件夹,缩小排查范围!
这是因为Shellbags只会记录访问过的文件夹,所以通过解析Shellbags去排查文件夹,可以筛除掉大量未被访问过的文件夹,大幅缩小线索排查范围,至几万个,甚至几千个。
此外,由于Shellbags自带时间戳,所以通过专业取证软件的解析视图,也可以快速实现对特定时间范围内的数据进行二次筛选,进一步缩小线索范围。
平航介质取证分析软件CS6100访问视图
拓展未知可疑线索
Shellbags除了可以“缩小线索范围”,它还能在一定条件下拓展可疑线索。这得益于前面给大家介绍到的Shellbags特性之一:「记录范围广」。
Shellbags除了能够记录电脑本机的数据之外,还能够记录挂载设备、挂载的网络驱动器的数据,因此在排查是否存在其他可疑的介质设备时,Shellbags也能起到关键作用。
并且,由于Shellbags还具备「“不会被删除”」的特性,我们也可以从中发现那些曾经在目标电脑中被访问,但取证时未发现目标的文件夹,判断目标对象是否存在删除、移动等可疑操作行为,为案件侦查提供方向。
平航介质取证分析软件CS6100访问视图
无需解密
挖掘BitLocker分区线索
常规BitLocker分区在加密后在没有密钥的情况下,很难通过暴力破解的方式获取到访问权限,所以传统分析方式几乎无法查看到未解密分区内的任何信息。
而在ShellBags中不仅可以看见其盘符信息,还有可能看到这些加密分区中曾经被访问过的文件夹信息。
平航介质取证分析软件CS6100访问视图
Shellbags专属“访问视图”
平航介质取证分析软件CS6100基于Shellbags的实际特性以及实战取证分析思路,专门开发了一套全新的分析视图「访问视图」,通过对Windows系统盘镜像进行解析,快速完成围绕Shellbags的线索梳理,减少线索挖掘工作量。
针对未在镜像内的移动设备、加密容器等信息,访问视图也会如实还原ShellBags中所记录的文件夹信息及访问时间,并标注。
而Bitlocker分区,解密前可透视分区,解密后可以快速排查使用过的文件夹。
CS6100“访问视图”取证实战
在某侵公案件中对嫌疑人电脑进行镜像分析后,并未直接发现其在TG(某境外聊天应用)中售卖的“人社信息”文件夹以及相关文件。
技术人员通过对ShellBags的分析发现,其电脑镜像中仅有C、D两个磁盘分区,而ShellBags显示其还有一个可疑分区G,并且其中不仅存在着“人社信息”文件夹,还存在着“菜商信息”、“工作卡”等疑似侵公文件夹。
通过后续调查,办案人员在另一窝点找到了存储相关涉案文件的移动存储设备。
简单总结
通过深入分析Shellbags信息,不但可以为研判减压,更为外接设备、加密容器、Bitlocker分区等介质取证难点打开了全新思路。
平航介质取证分析软件CS6100访问者视图,就为实战提供了一个更加便捷高效的ShellBags分析能力,可快速整合目标数据,并以可视化形式,供用户筛选、分析。
相关产品及功能均已发布
产品试用可联系区域销售
案件技术支撑正在服务中
欢迎来询
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...