eCDFP (Module-6) (Window Forensics) (Part - 1 )

လက်ရှိအချိန်မှာ PC/Laptop သုံးစွဲတဲ့အထဲမှာ Window အသုံးပြုသူက ကမ္ဘာမှာ အများဆုံးဖြစ်ပါတယ်။ Operation System အနေနဲ့ကြည့်မယ်ဆိုရင် ဒုတိယအများဆုံးဖြစ်ပါတယ်၊ ပထမအများဆုံးကတော့ Android ဖြစ်ပါတယ်။ Window 1.0 ကနေ အခုနောက်ဆုံးထွက်တဲ့ Window 11 အထိမှာ လက်ရှိလူတွေ အများဆုံးအသုံးပြုတာကတော့ Window 10/ Window 11 ဖြစ်ပါတယ်။ Forensics Analysis လုပ်မယ်ဆိုရင် Window ကနေရနိုင်တဲ့ Artifact (2) မျိုးရှိပါတယ်။

(1) System Artifacts 

(2) User Artifacts 

System Artifacts  ကတော့ Window Operation System   ကနေရနိုင်တဲ့ Artifacts တွေဖြစ်ပါတယ်။ 

System Artifacts Example 

Registry Artifacts

Event Logs

File System Artifacts (Master File Table)

Prefetch Files

Volume Shadow Copies 

User Artifacts ကတော့ User အသုံးပြုတဲ့ Computer ပေါ်မှာ User ကနေအသုံးပြုတဲ့ Activity တွေဖြစ်ပါတယ်။ တစ်ကယ်တန်း Forensics Analysis လုပ်မယ်ဆိုရင် System Artifacts ကိုရော User Artifacts ကိုရော Analysis ပြုလုပ်ပါတယ်။ 

User Artifacts Example 

UserAssist 

LNK Files

Browser Artifacts 

Recycle Bin 

Recent File 

Jump Lists 

.LNK File (Shortcut) Analysis 

What is .LNK File ? 

According to Microsoft, a .lnk file, also known as a Shell Link or shortcut file, is a file that contains information used to access another data object, such as a file, folder, or application. These files are used to create shortcuts that allow users to quickly access the target item without navigating through the file system.

တစ်ခါတစ်လေမှာ မြန်မာလိုထက် English လိုကဖတ်ရတာပိုရှင်းပါတယ်။ .LNK File ဆိုတာက Computer မှာ တွေ့နေကျဖြစ်တဲ့ Shortcut File တွေဖြစ်ပြီး အဲဒီ Shortcut File တွေက .LNK Extension နဲ့ဖြစ်ပါတယ်။

LNK File (Shortcut) file ကို Hex Editor နဲ့ဖွင့်ကြည့်မယ်ဆိုရင် Offset 0 မှာ  ( 4C 00 00 00 ) Signature ကိုတွေ့ရမှာဖြစ်ပါတယ်။ အဲဒီ ( 4C 00 00 00 01 14 02 00 ) Signature ကြောင့် .LNK File တွေကို Carve/Recovery ပြုလုပ်လို့ရပါတယ်။ Recovery  သို့မဟုတ် Computer Forensics တွေက File Type တစ်ခုချင်စီမှာရှိတဲ့ Signature ကိုကြည့်ပြီး Recovery Process ပြုလုပ်တာဖြစ်ပါတယ်။