SlideShare a Scribd company logo

DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Used" Shellbags

Deft Association
Deft Association
Government & Nonprofit
1 of 30
Download to read offline
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Windows  Registry  Ar0facts   Most  Recently  Used   SHELLBAGS   DEFTCON 2014
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato SHELLBAGS  –  di  cosa  s0amo  parlando  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato ¡  Dal punto di vista di Microsoft: ¡  La possibilità per l’utente di personalizzare (e ricordare) le preferenze di visualizzazione e posizione delle cartelle “to remember the size, view, icon or position of a folder” ¡  Dal punto di vista di un Computer Forensic Expert: ¡  La possibilità di tracciare con notevole precisione le attività di visualizzazione, creazione e modifica delle cartelle degli utenti su Windows Explorer, e non solo … SHELLBAGS  –  cosa  sono  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Most  Recently  Used   ¡  Nel registro sono memorizzati valori e chiavi in forma di liste MRU (most recently used) ¡  Le liste MRU ci aiutano a ordinare i valori delle sottochiavi associati alle liste ¡  L’ordinamento è spesso contenuto in valori chiamati MRUList e MRUListEx ¡  L’ordinamento può avvenire con valori del tipo “0003” “0001” “0002” o “c” “a” “b” ….. ¡  L’ordinamento può avvenire attraverso lo swap della sottochiave e del relativo valore; Un nuovo elemento più recente prende il posto dell’elemento precedente “spingendolo” in giù nella lista T0 T1 123 123 456000 000 001
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato •  Ricerche   •  File  aper0   •  File  salva0   •  Documen0  recen0   •  RUN   •  File  recen0  di  specifiche  applicazioni   •  MS  Word   •  Paint   •  Etc     •  User  Assist     •  Shellbags     Alcune  delle  risorse  MRU  per  cui  esistono  liste  ordinate   Most  Recently  Used  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   Dove  sono?     Windows  XP  –  7  –  8   USRCLASS.DATLocal  SeNngsSoOwareMicrosoOWindowsShellBagMRU   USRCLASS.DATLocal  SeNngsSoOwareMicrosoOWindowsShellBags   NTUSER.DATSoOwareMicrosoOWindowsShellBagMRU   NTUSER.DATSoOwareMicrosoOWindowsShellBags   NTUSER.DATSoOwareMicrosoOWindowsShellNoRoamBagMRU   NTUSER.DATSoOwareMicrosoOWindowsShellNoRoamBags        
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS     Visualizzazione da REGEDIT Numero max di registrazioni Cartelle in unità remote Cartelle in unità locali Hanno la stessa struttura interna
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   primo secondo BagMRU contiene riferimenti alle cartelle navigate dall’utente utilizzando Explorer Bags contiene le impostazioni di visualizzazione delle cartelle
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica - 01 Corrisponde al Desktop Leggo MRUListEx … Visualizzo il contenuto del valore 8 … MRU  SHELLBAGS  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica - 02 Visualizzo il contenuto della cartella 8 e leggo il suo MRUListEx. Il primo valore è 0 MRU  SHELLBAGS  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica - 03 La sottochiave 8 non ha ulteriori sottochiavi quindi la navigazione termina quì L’utente ha navigato - Desktoprr_20080909plugins MRU  SHELLBAGS  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   http://www.4n6k.com/2013/12/shellbags-forensics-addressing.html UsrClass.datLocal SettingsSoftwareMicrosoftWindowsShellBagMRU0020 DesktopMyComputerK:DocumentsPersonalPDFs
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Interazione  con  l’utente   www.dfrws.org/2009/proceedings/p69-zhu.pdf Digital investigation 6 (2009) – Zhu, Gladyshev, James MRU  SHELLBAGS    
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Quali  informazioni  si  possono  o;enere  a;raverso  l’analisi  delle  shellbags?         Per  ogni  folder  (BagMRU)  oTerremo:     1)  Bag  Number   2)  Registry  key  last  write  Ime   3)  Folder  name   4)  Full  path   5)  Embedded  creaIon  date  /  Ime   6)  Embedded  modify  date  /  Ime   7)  Embedded  access  date  /  Ime     MRU  SHELLBAGS   …  possiamo  o;enere  più  informazioni?      
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   Time MFT Record Entry Sequence Number Bag Name MFT File reference number
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Da  dove  vengono  presi  i  metadaI  delle  cartelle  e  dei  file?       -­‐  Provengono  da  MFT,  e  tradoX  da  FileFormat  a  DOSDate  Timestamp   (minore  granularità  –  100ns  :  2Sec).  Queste  date  verranno  mai   aggiornate   -­‐  L’a;ributo  della  entry  MFT  da  cui  provengono  le  date  è  $FILE_NAME     -­‐  Tu;e  le  date  sono  in  formato  UTC   -­‐  Alcuni  tools  rappresentano  la  RegKey  associata  alla  so;ochiave  che   conIene  la  bag  con  precisione  al  millisecondo,  altri  sono  un  po  meno   precisi…       MRU  SHELLBAGS  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Quali  Ipi  di  contenuI  vengono  tracciaI  nelle  shellbags?     -­‐  Navigazioni  nelle  cartelle  “speciali”  es.  “My  Computer”   -­‐  Navigazioni  nelle  cartelle  locali   -­‐  Navigazioni  nelle  cartelle  di  rete   -­‐  Navigazione  nelle  cartelle  di  device  USB  MSC  es.  “Pendrive”   -­‐  Navigazione  nelle  cartelle  di  device  USB  MTP  es.  “Cell  Phone”   -­‐  A  volte  è  possibile  o;enere  la  lista  dei  file  contenuI  nelle   cartelle  navigate  con  relaIvi  metadaI   -­‐  ….  Vi  viene  in  mente  altro?   MRU  SHELLBAGS  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato •  Cosa succede se elimino una cartella reale / fisica, già registrata nelle shellbags? •  Cosa succede se elimino alcune sottochiavi da bagMRU? •  Cosa succede se vado a modificare la risoluzione del monitor? •  Cosa succede se eseguo Ccleaner ( as administrator ) allo scopo di eliminare questi artefatti? MRU  SHELLBAGS  -­‐  Domande  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica – Lettura dei file A volte è possibile individuare il valore ItemPos MRU  SHELLBAGS  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato ItemPos Nel valore ItemPos Sono elencati i contenuti della BagMRU, file e cartelle File Il valore ItemPos spesso non è presente all’interno della Bags MRU  SHELLBAGS  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Dblclick Move Resize Le operazioni causano la scrittura dell’elenco file nelle ShellBags Elenco dei file della parent folder (la stessa in cui si trova il file .zip) Case  study  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS   o  TZWorks  –  sbag.exe   o  hTps://www.tzworks.net/prototype_page.php?proto_id=14   o  X-­‐Ways  Forensics  17   o  www.winhex.com   o  RegRipper    -­‐-­‐    presente  in  DEFT   o  hTps://code.google.com/p/regripper/downloads/list   o  ShellBagsView  -­‐-­‐    presente  in  DEFT   o  hTp://www.nirsoO.net   …  Solo  una  parte  dei  tools  che  tra;ano  quesI  artefaX  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  –  TZWorks  -­‐  Sbag.exe   •  Analisi Slack Space –inc_slack •  Aggiunge continuamente nuove informazioni all’output
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  –  TZWorks  -­‐  Sbag.exe     Dettaglio OUTPUT
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  –  X-­‐Ways  Forensics  17.X  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  -­‐  RegRipper   Ottimo Tool! Harlan Carvey aggiorna i moduli con buona frequenza. Regripper decodifica le MRU e le Shellbags
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Semplicissimo, Legge NTUSER.DAT – USRClass.DAT locali non legge i riferimenti ai file contenuti nelle cartelle TOOLS  –  ShellBagsView  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato … e noi aggiungiamo: ¡  Determinare l’avvenuto accesso a una cartella da parte di uno specifico utente, sia essa locale o di rete ¡  Determinare l’uso e la navigazione in removable storage devices ¡  L’esistenza, in passato, di una cartella, o file*, oggi eliminati ¡  Metadati storici di una cartella o file*, e la sua posizione in $MFT ¡  Il path di navigazione utilizzato per raggiungere una cartella ¡  Profilare l’utente utilizzatore attraverso le sue preferenze di navigazione nel filesystem ¡  Mostrare la struttura interna di un volume montato nel sistema e navigato tramite explorer, compresi i volumi cifrati (truecrypt) SHELLBAGS  –  per  concludere,  a  cosa  servono   “to remember the size, view, icon or position of a folder”
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato ¡  http://www.dfrws.org/2009/proceedings/p69-zhu.pdf ¡  http://digital-forensics.sans.org/blog/2011/07/05/shellbags ¡  http://www.4n6k.com/2013/12/shellbags-forensics-addressing.html ¡  http://windowsir.blogspot.it/2012/10/shellbag-analysis-revisitedsome- testing.html La mia email: luigi.ranzato@gmail.com SHELLBAGS  –  Riferimen0  
DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato THANKS

Recommended

Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Italian-Israeli Intergovernmental Consultations. Joint Statement
Italian-Israeli Intergovernmental Consultations. Joint StatementItalian-Israeli Intergovernmental Consultations. Joint Statement
Italian-Israeli Intergovernmental Consultations. Joint StatementPalazzo Chigi - Governo Italiano
 
Ecobonus 2013, guida alle agevolazioni fiscali per il risparmio energetico
Ecobonus 2013, guida alle agevolazioni fiscali per il risparmio energeticoEcobonus 2013, guida alle agevolazioni fiscali per il risparmio energetico
Ecobonus 2013, guida alle agevolazioni fiscali per il risparmio energeticoPalazzo Chigi - Governo Italiano
 
Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...
Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...
Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...Palazzo Chigi - Governo Italiano
 
Le conclusioni del Consiglio UE del 24-25 ottobre 2013
Le conclusioni del Consiglio UE del 24-25 ottobre 2013Le conclusioni del Consiglio UE del 24-25 ottobre 2013
Le conclusioni del Consiglio UE del 24-25 ottobre 2013Palazzo Chigi - Governo Italiano
 
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeft Association
 
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deft Association
 
Sure riferite a Gesù e alcune interpretazioni
Sure riferite a Gesù e alcune interpretazioni Sure riferite a Gesù e alcune interpretazioni
Sure riferite a Gesù e alcune interpretazioni Paola Barigelli-Calcari
 

Recommended

Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Italian-Israeli Intergovernmental Consultations. Joint Statement
Italian-Israeli Intergovernmental Consultations. Joint StatementItalian-Israeli Intergovernmental Consultations. Joint Statement
Italian-Israeli Intergovernmental Consultations. Joint StatementPalazzo Chigi - Governo Italiano
 
Ecobonus 2013, guida alle agevolazioni fiscali per il risparmio energetico
Ecobonus 2013, guida alle agevolazioni fiscali per il risparmio energeticoEcobonus 2013, guida alle agevolazioni fiscali per il risparmio energetico
Ecobonus 2013, guida alle agevolazioni fiscali per il risparmio energeticoPalazzo Chigi - Governo Italiano
 
Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...
Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...
Relazione al CIPE sull'attività svolta dall'Unità Tecnica Finanza di Progetto...Palazzo Chigi - Governo Italiano
 
Le conclusioni del Consiglio UE del 24-25 ottobre 2013
Le conclusioni del Consiglio UE del 24-25 ottobre 2013Le conclusioni del Consiglio UE del 24-25 ottobre 2013
Le conclusioni del Consiglio UE del 24-25 ottobre 2013Palazzo Chigi - Governo Italiano
 
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeftcon 2014 - Stefano Fratepietro - Stato del Progetto Deft
Deftcon 2014 - Stefano Fratepietro - Stato del Progetto DeftDeft Association
 
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...
Deftcon 2014 - Marco Albanese - Andlink: Un’applicazione a supporto per le at...Deft Association
 
Sure riferite a Gesù e alcune interpretazioni
Sure riferite a Gesù e alcune interpretazioni Sure riferite a Gesù e alcune interpretazioni
Sure riferite a Gesù e alcune interpretazioni Paola Barigelli-Calcari
 
02_dietro le quinte delle inchieste data j
02_dietro le quinte delle inchieste data j02_dietro le quinte delle inchieste data j
02_dietro le quinte delle inchieste data jElisabetta Tola
 
La conservazione degli strumenti di archiviazione
La conservazione degli strumenti di archiviazioneLa conservazione degli strumenti di archiviazione
La conservazione degli strumenti di archiviazioneNicola Bernardini
 
Strumenticollaborativiopen
StrumenticollaborativiopenStrumenticollaborativiopen
StrumenticollaborativiopenMaurizio Napolitano
 
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...Jorge Carlos Franco
 
La Unix Way vista da un DevOps
La Unix Way vista da un DevOpsLa Unix Way vista da un DevOps
La Unix Way vista da un DevOpsFabio Mora
 
Linux Device Drivers
Linux Device DriversLinux Device Drivers
Linux Device DriversFabio Nisci
 
Webminar del 12.03.2012
Webminar del 12.03.2012Webminar del 12.03.2012
Webminar del 12.03.2012PgTraining
 
PHP: Un progetto open source cresciuto insieme al web
PHP: Un progetto open source cresciuto insieme al webPHP: Un progetto open source cresciuto insieme al web
PHP: Un progetto open source cresciuto insieme al webAsmir Mustafic
 
Corso formazione Linux
Corso formazione LinuxCorso formazione Linux
Corso formazione LinuxErcole Palmeri
 
16. Creazione collettiva
16. Creazione collettiva16. Creazione collettiva
16. Creazione collettivaRoberto Polillo
 
Il FAL di TYPO3 6.x
Il FAL di TYPO3 6.xIl FAL di TYPO3 6.x
Il FAL di TYPO3 6.xMauro Lorenzutti
 
Italian deft 7 manual 50
Italian deft 7 manual 50Italian deft 7 manual 50
Italian deft 7 manual 50mstrom62
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Walter Volpi
 
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiosità
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiositàTYPO3: uno sguardo al repository a caccia di estensioni e alcune curiosità
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiositàRino Razzi
 
Repository estensioni - curiosita-definitivo
Repository estensioni - curiosita-definitivoRepository estensioni - curiosita-definitivo
Repository estensioni - curiosita-definitivoRino Razzi
 
Corso Avanzato Alfresco Ecm
Corso Avanzato Alfresco EcmCorso Avanzato Alfresco Ecm
Corso Avanzato Alfresco Ecmedoardo fraioli
 
xVelocity in Deep
xVelocity in DeepxVelocity in Deep
xVelocity in DeepMarco Pozzan
 
Open source nell'ente Regione Emilia-Romagna
Open source nell'ente Regione Emilia-RomagnaOpen source nell'ente Regione Emilia-Romagna
Open source nell'ente Regione Emilia-RomagnaTassoman ☺
 
Integrare Apache Solr in TYPO3
Integrare Apache Solr in TYPO3Integrare Apache Solr in TYPO3
Integrare Apache Solr in TYPO3Mauro Lorenzutti
 
Kinect v2: NUI for dummies - Bonanni
Kinect v2: NUI for dummies - BonanniKinect v2: NUI for dummies - Bonanni
Kinect v2: NUI for dummies - BonanniCodemotion
 
Deft - Botconf 2017
Deft - Botconf 2017Deft - Botconf 2017
Deft - Botconf 2017Deft Association
 
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...Deft Association
 

More Related Content

Similar to DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Used" Shellbags

02_dietro le quinte delle inchieste data j
02_dietro le quinte delle inchieste data j02_dietro le quinte delle inchieste data j
02_dietro le quinte delle inchieste data jElisabetta Tola
 
La conservazione degli strumenti di archiviazione
La conservazione degli strumenti di archiviazioneLa conservazione degli strumenti di archiviazione
La conservazione degli strumenti di archiviazioneNicola Bernardini
 
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...Jorge Carlos Franco
 
La Unix Way vista da un DevOps
La Unix Way vista da un DevOpsLa Unix Way vista da un DevOps
La Unix Way vista da un DevOpsFabio Mora
 
Linux Device Drivers
Linux Device DriversLinux Device Drivers
Linux Device DriversFabio Nisci
 
Webminar del 12.03.2012
Webminar del 12.03.2012Webminar del 12.03.2012
Webminar del 12.03.2012PgTraining
 
PHP: Un progetto open source cresciuto insieme al web
PHP: Un progetto open source cresciuto insieme al webPHP: Un progetto open source cresciuto insieme al web
PHP: Un progetto open source cresciuto insieme al webAsmir Mustafic
 
Corso formazione Linux
Corso formazione LinuxCorso formazione Linux
Corso formazione LinuxErcole Palmeri
 
16. Creazione collettiva
16. Creazione collettiva16. Creazione collettiva
16. Creazione collettivaRoberto Polillo
 
Italian deft 7 manual 50
Italian deft 7 manual 50Italian deft 7 manual 50
Italian deft 7 manual 50mstrom62
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Walter Volpi
 
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiosità
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiositàTYPO3: uno sguardo al repository a caccia di estensioni e alcune curiosità
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiositàRino Razzi
 
Repository estensioni - curiosita-definitivo
Repository estensioni - curiosita-definitivoRepository estensioni - curiosita-definitivo
Repository estensioni - curiosita-definitivoRino Razzi
 
Corso Avanzato Alfresco Ecm
Corso Avanzato Alfresco EcmCorso Avanzato Alfresco Ecm
Corso Avanzato Alfresco Ecmedoardo fraioli
 
Open source nell'ente Regione Emilia-Romagna
Open source nell'ente Regione Emilia-RomagnaOpen source nell'ente Regione Emilia-Romagna
Open source nell'ente Regione Emilia-RomagnaTassoman ☺
 
Integrare Apache Solr in TYPO3
Integrare Apache Solr in TYPO3Integrare Apache Solr in TYPO3
Integrare Apache Solr in TYPO3Mauro Lorenzutti
 
Kinect v2: NUI for dummies - Bonanni
Kinect v2: NUI for dummies - BonanniKinect v2: NUI for dummies - Bonanni
Kinect v2: NUI for dummies - BonanniCodemotion
 

Similar to DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Used" Shellbags (20)

02_dietro le quinte delle inchieste data j
02_dietro le quinte delle inchieste data j02_dietro le quinte delle inchieste data j
02_dietro le quinte delle inchieste data j
 
La conservazione degli strumenti di archiviazione
La conservazione degli strumenti di archiviazioneLa conservazione degli strumenti di archiviazione
La conservazione degli strumenti di archiviazione
 
Strumenticollaborativiopen
StrumenticollaborativiopenStrumenticollaborativiopen
Strumenticollaborativiopen
 
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...
Aula multi Didattica con Software Libero I.I.S. Podesti-Calzecchi (Chiaravall...
 
La Unix Way vista da un DevOps
La Unix Way vista da un DevOpsLa Unix Way vista da un DevOps
La Unix Way vista da un DevOps
 
Linux Device Drivers
Linux Device DriversLinux Device Drivers
Linux Device Drivers
 
Webminar del 12.03.2012
Webminar del 12.03.2012Webminar del 12.03.2012
Webminar del 12.03.2012
 
PHP: Un progetto open source cresciuto insieme al web
PHP: Un progetto open source cresciuto insieme al webPHP: Un progetto open source cresciuto insieme al web
PHP: Un progetto open source cresciuto insieme al web
 
Corso formazione Linux
Corso formazione LinuxCorso formazione Linux
Corso formazione Linux
 
16. Creazione collettiva
16. Creazione collettiva16. Creazione collettiva
16. Creazione collettiva
 
Il FAL di TYPO3 6.x
Il FAL di TYPO3 6.xIl FAL di TYPO3 6.x
Il FAL di TYPO3 6.x
 
Italian deft 7 manual 50
Italian deft 7 manual 50Italian deft 7 manual 50
Italian deft 7 manual 50
 
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
Master Informatica del Testo – Edizione elettronica - Arezzo - 2012
 
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiosità
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiositàTYPO3: uno sguardo al repository a caccia di estensioni e alcune curiosità
TYPO3: uno sguardo al repository a caccia di estensioni e alcune curiosità
 
Repository estensioni - curiosita-definitivo
Repository estensioni - curiosita-definitivoRepository estensioni - curiosita-definitivo
Repository estensioni - curiosita-definitivo
 
Corso Avanzato Alfresco Ecm
Corso Avanzato Alfresco EcmCorso Avanzato Alfresco Ecm
Corso Avanzato Alfresco Ecm
 
xVelocity in Deep
xVelocity in DeepxVelocity in Deep
xVelocity in Deep
 
Open source nell'ente Regione Emilia-Romagna
Open source nell'ente Regione Emilia-RomagnaOpen source nell'ente Regione Emilia-Romagna
Open source nell'ente Regione Emilia-Romagna
 
Integrare Apache Solr in TYPO3
Integrare Apache Solr in TYPO3Integrare Apache Solr in TYPO3
Integrare Apache Solr in TYPO3
 
Kinect v2: NUI for dummies - Bonanni
Kinect v2: NUI for dummies - BonanniKinect v2: NUI for dummies - Bonanni
Kinect v2: NUI for dummies - Bonanni
 

More from Deft Association

deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...Deft Association
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020Deft Association
 
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...Deft Association
 
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...Deft Association
 
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoringdeftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic MonitoringDeft Association
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT ToolsDeft Association
 
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...Deft Association
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...Deft Association
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeft Association
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deft Association
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeft Association
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeft Association
 
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeft Association
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualDeft Association
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Deft Association
 
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...Deft Association
 
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deft Association
 
Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics
Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensicsDeftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics
Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensicsDeft Association
 

More from Deft Association (20)

Deft - Botconf 2017
Deft - Botconf 2017Deft - Botconf 2017
Deft - Botconf 2017
 
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
deftcon 2015 - Giuseppe Serafini - PCI - DSS Forensics - Soggetti, strumenti ...
 
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020deftcon 2015 - Stefano Mele - La cyber-security nel 2020
deftcon 2015 - Stefano Mele - La cyber-security nel 2020
 
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
deftcon 2015 - Paolo Dal Checco - Riciclaggio e Anti riciclaggio nell’era del...
 
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
deftcon 2015 - Epifani, Picasso, Scarito, Meda - Tor Browser forensics on Win...
 
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoringdeftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
deftcon 2015 - Dave Piscitello - DNS Traffic Monitoring
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
 
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
deftcon 2015 - Stefano Capaccioli - Riciclaggio e Antiriciclaggio nell’era de...
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
 
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin SkypeDeftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
Deftcon 2013 - Nicodemo Gawronski - iPBA 2.0 - Plugin Skype
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
 
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
Deftcon 2013 - Mario Piccinelli - iPBA 2 - iPhone Backup Analyzer 2
 
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite ForensicsDeftcon 2012 - Meo Bogliolo - SQLite Forensics
Deftcon 2012 - Meo Bogliolo - SQLite Forensics
 
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT LinuxDeftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
Deftcon 2012 - Marco Giorgi - Acquisizione di memorie di massa con DEFT Linux
 
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi AndroidDeftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
Deftcon 2014 - Marco Giorgi - Metodologie di Acquisizione di Dispositivi Android
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 ManualPaolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - DEFT 7 Manual
 
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
Paolo Dal Checco, Alessandro Rossetti, Stefano Fratepietro - Manuale DEFT 7
 
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
deftcon 2014 - Federico Grattirio - TIMESHARK: Uno strumento per la visualizz...
 
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
Deftcon 2014 - Stefano Zanero - Comprehensive Black-box Methodology for Testi...
 
Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics
Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensicsDeftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics
Deftcon 2014 - Mattia Epifani & Claudia Meda - Windows 8 forensics
 

DEFTCON 2014 – Luigi Ranzato - Windows Registry Artifacts: "Most Recently Used" Shellbags

  • 1. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Windows  Registry  Ar0facts   Most  Recently  Used   SHELLBAGS   DEFTCON 2014
  • 2. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato SHELLBAGS  –  di  cosa  s0amo  parlando  
  • 3. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato ¡  Dal punto di vista di Microsoft: ¡  La possibilità per l’utente di personalizzare (e ricordare) le preferenze di visualizzazione e posizione delle cartelle “to remember the size, view, icon or position of a folder” ¡  Dal punto di vista di un Computer Forensic Expert: ¡  La possibilità di tracciare con notevole precisione le attività di visualizzazione, creazione e modifica delle cartelle degli utenti su Windows Explorer, e non solo … SHELLBAGS  –  cosa  sono  
  • 4. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Most  Recently  Used   ¡  Nel registro sono memorizzati valori e chiavi in forma di liste MRU (most recently used) ¡  Le liste MRU ci aiutano a ordinare i valori delle sottochiavi associati alle liste ¡  L’ordinamento è spesso contenuto in valori chiamati MRUList e MRUListEx ¡  L’ordinamento può avvenire con valori del tipo “0003” “0001” “0002” o “c” “a” “b” ….. ¡  L’ordinamento può avvenire attraverso lo swap della sottochiave e del relativo valore; Un nuovo elemento più recente prende il posto dell’elemento precedente “spingendolo” in giù nella lista T0 T1 123 123 456000 000 001
  • 5. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato •  Ricerche   •  File  aper0   •  File  salva0   •  Documen0  recen0   •  RUN   •  File  recen0  di  specifiche  applicazioni   •  MS  Word   •  Paint   •  Etc     •  User  Assist     •  Shellbags     Alcune  delle  risorse  MRU  per  cui  esistono  liste  ordinate   Most  Recently  Used  
  • 6. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   Dove  sono?     Windows  XP  –  7  –  8   USRCLASS.DATLocal  SeNngsSoOwareMicrosoOWindowsShellBagMRU   USRCLASS.DATLocal  SeNngsSoOwareMicrosoOWindowsShellBags   NTUSER.DATSoOwareMicrosoOWindowsShellBagMRU   NTUSER.DATSoOwareMicrosoOWindowsShellBags   NTUSER.DATSoOwareMicrosoOWindowsShellNoRoamBagMRU   NTUSER.DATSoOwareMicrosoOWindowsShellNoRoamBags        
  • 7. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS     Visualizzazione da REGEDIT Numero max di registrazioni Cartelle in unità remote Cartelle in unità locali Hanno la stessa struttura interna
  • 8. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   primo secondo BagMRU contiene riferimenti alle cartelle navigate dall’utente utilizzando Explorer Bags contiene le impostazioni di visualizzazione delle cartelle
  • 9. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica - 01 Corrisponde al Desktop Leggo MRUListEx … Visualizzo il contenuto del valore 8 … MRU  SHELLBAGS  
  • 10. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica - 02 Visualizzo il contenuto della cartella 8 e leggo il suo MRUListEx. Il primo valore è 0 MRU  SHELLBAGS  
  • 11. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica - 03 La sottochiave 8 non ha ulteriori sottochiavi quindi la navigazione termina quì L’utente ha navigato - Desktoprr_20080909plugins MRU  SHELLBAGS  
  • 12. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   http://www.4n6k.com/2013/12/shellbags-forensics-addressing.html UsrClass.datLocal SettingsSoftwareMicrosoftWindowsShellBagMRU0020 DesktopMyComputerK:DocumentsPersonalPDFs
  • 13. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Interazione  con  l’utente   www.dfrws.org/2009/proceedings/p69-zhu.pdf Digital investigation 6 (2009) – Zhu, Gladyshev, James MRU  SHELLBAGS    
  • 14. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Quali  informazioni  si  possono  o;enere  a;raverso  l’analisi  delle  shellbags?         Per  ogni  folder  (BagMRU)  oTerremo:     1)  Bag  Number   2)  Registry  key  last  write  Ime   3)  Folder  name   4)  Full  path   5)  Embedded  creaIon  date  /  Ime   6)  Embedded  modify  date  /  Ime   7)  Embedded  access  date  /  Ime     MRU  SHELLBAGS   …  possiamo  o;enere  più  informazioni?      
  • 15. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato MRU  SHELLBAGS   Time MFT Record Entry Sequence Number Bag Name MFT File reference number
  • 16. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Da  dove  vengono  presi  i  metadaI  delle  cartelle  e  dei  file?       -­‐  Provengono  da  MFT,  e  tradoX  da  FileFormat  a  DOSDate  Timestamp   (minore  granularità  –  100ns  :  2Sec).  Queste  date  verranno  mai   aggiornate   -­‐  L’a;ributo  della  entry  MFT  da  cui  provengono  le  date  è  $FILE_NAME     -­‐  Tu;e  le  date  sono  in  formato  UTC   -­‐  Alcuni  tools  rappresentano  la  RegKey  associata  alla  so;ochiave  che   conIene  la  bag  con  precisione  al  millisecondo,  altri  sono  un  po  meno   precisi…       MRU  SHELLBAGS  
  • 17. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Quali  Ipi  di  contenuI  vengono  tracciaI  nelle  shellbags?     -­‐  Navigazioni  nelle  cartelle  “speciali”  es.  “My  Computer”   -­‐  Navigazioni  nelle  cartelle  locali   -­‐  Navigazioni  nelle  cartelle  di  rete   -­‐  Navigazione  nelle  cartelle  di  device  USB  MSC  es.  “Pendrive”   -­‐  Navigazione  nelle  cartelle  di  device  USB  MTP  es.  “Cell  Phone”   -­‐  A  volte  è  possibile  o;enere  la  lista  dei  file  contenuI  nelle   cartelle  navigate  con  relaIvi  metadaI   -­‐  ….  Vi  viene  in  mente  altro?   MRU  SHELLBAGS  
  • 18. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato •  Cosa succede se elimino una cartella reale / fisica, già registrata nelle shellbags? •  Cosa succede se elimino alcune sottochiavi da bagMRU? •  Cosa succede se vado a modificare la risoluzione del monitor? •  Cosa succede se eseguo Ccleaner ( as administrator ) allo scopo di eliminare questi artefatti? MRU  SHELLBAGS  -­‐  Domande  
  • 19. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Esempio di decodifica – Lettura dei file A volte è possibile individuare il valore ItemPos MRU  SHELLBAGS  
  • 20. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato ItemPos Nel valore ItemPos Sono elencati i contenuti della BagMRU, file e cartelle File Il valore ItemPos spesso non è presente all’interno della Bags MRU  SHELLBAGS  
  • 21. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Dblclick Move Resize Le operazioni causano la scrittura dell’elenco file nelle ShellBags Elenco dei file della parent folder (la stessa in cui si trova il file .zip) Case  study  
  • 22. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS   o  TZWorks  –  sbag.exe   o  hTps://www.tzworks.net/prototype_page.php?proto_id=14   o  X-­‐Ways  Forensics  17   o  www.winhex.com   o  RegRipper    -­‐-­‐    presente  in  DEFT   o  hTps://code.google.com/p/regripper/downloads/list   o  ShellBagsView  -­‐-­‐    presente  in  DEFT   o  hTp://www.nirsoO.net   …  Solo  una  parte  dei  tools  che  tra;ano  quesI  artefaX  
  • 23. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  –  TZWorks  -­‐  Sbag.exe   •  Analisi Slack Space –inc_slack •  Aggiunge continuamente nuove informazioni all’output
  • 24. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  –  TZWorks  -­‐  Sbag.exe     Dettaglio OUTPUT
  • 25. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  –  X-­‐Ways  Forensics  17.X  
  • 26. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato TOOLS  -­‐  RegRipper   Ottimo Tool! Harlan Carvey aggiorna i moduli con buona frequenza. Regripper decodifica le MRU e le Shellbags
  • 27. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato Semplicissimo, Legge NTUSER.DAT – USRClass.DAT locali non legge i riferimenti ai file contenuti nelle cartelle TOOLS  –  ShellBagsView  
  • 28. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato … e noi aggiungiamo: ¡  Determinare l’avvenuto accesso a una cartella da parte di uno specifico utente, sia essa locale o di rete ¡  Determinare l’uso e la navigazione in removable storage devices ¡  L’esistenza, in passato, di una cartella, o file*, oggi eliminati ¡  Metadati storici di una cartella o file*, e la sua posizione in $MFT ¡  Il path di navigazione utilizzato per raggiungere una cartella ¡  Profilare l’utente utilizzatore attraverso le sue preferenze di navigazione nel filesystem ¡  Mostrare la struttura interna di un volume montato nel sistema e navigato tramite explorer, compresi i volumi cifrati (truecrypt) SHELLBAGS  –  per  concludere,  a  cosa  servono   “to remember the size, view, icon or position of a folder”
  • 29. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato ¡  http://www.dfrws.org/2009/proceedings/p69-zhu.pdf ¡  http://digital-forensics.sans.org/blog/2011/07/05/shellbags ¡  http://www.4n6k.com/2013/12/shellbags-forensics-addressing.html ¡  http://windowsir.blogspot.it/2012/10/shellbag-analysis-revisitedsome- testing.html La mia email: luigi.ranzato@gmail.com SHELLBAGS  –  Riferimen0  
  • 30. DEFTCON - MILANO – 11 aprile 2014 – Luigi Ranzato THANKS