eCDFP (Module-6) (Window Forensics) (Part - 5 )

 Shortcut (.LNK) File တွေကို Window Operating System ကနေ .EXE File မဟုတ်လဲ Create ပြုလုပ်နိုင်သလို (Example Word File) User ကနေလဲ Create ပြုလုပ်နိုင်ပါတယ်။ User ကနေ Shortcut (.LNK) File တွေကို Create လုပ်တယ်ဆိုတာက File/Folder/Application တစ်ခုခုကို အလွယ်တစ်ကူ Access လုပ်နိုင်အောင်ပြုလုပ်တာဖြစ်နိုင်ပါတယ်။ User Interest  ဖြစ်တဲ့အရာတစ်ခုခု လဲဖြစ်နိုင်ပါတယ်။

Jump List ဆိုတာက User ကနေ Frequently ဒါမှမဟုတ် Recently Access ပြုလုပ်တဲ့ File/Folder/Application တွေကို User Access ပြုလုပ်ရတာလွယ်ကူအောင် Automatic ပြုလုပ်ပေးတာဖြစ်ပါတယ်။ Jump List ဆိုတာဘယ်လိုလဲဆိုတာကို အောက်ကပုံတွေမှာ ပြထားပါတယ်။ User Access ပြုလုပ်ရတာလွယ်ကူအောင်ပြုလုပ်ပေးတဲ့ Mini Start Menu ပဲဖြစ်ပါတယ်။

 Law Enforcement Use Case

Jump List ကို  Wipe/Delete ပြုလုပ်ထားတဲ့ non-executable files တွေကို Analysis ပြုလုပ်ဖို့အသုံးပြုနိုင်သလို  .LNK File များနဲ့လဲ နှိုင်းယှဉ်ပြီး Analysis ပြုလုပ်နိုင်ပါတယ်။

 Private Sector Use Case

Unauthorized Access ဖြစ်တဲ့အချိန်မှာ LNK, Shellbags နဲ့တွဲပြီး File/ Folder တွေကို Access လုပ်တယ်ဆိုတာကို Analysis ပြုလုပ်နိုင်ပါတယ်။

automaticDestination.ms, customDestination.ms File တွေက Application ID 16 လုံးနဲ့စပြီး .ms နဲ့အဆုံးသတ်ပါတယ်။ Application ID 16  လုံးက Window OS မှာအသုံးပြုနေတဲ့ Application အချင်းချင်မမှားအောင် သတ်မှတ်ထားတာဖြစ်ပါတယ်။ အခု Example မှာဆိုရင် Application ID ဖြစ်တဲ့  fb3b0dbfee58fac8  က Microsoft Word 2016 64-bit ကိုရည်ညွှန်းတာဖြစ်ပါတယ်။ အခြား Computer မှာ အသုံးပြတဲ့ က Microsoft Word 2016 64-bit ဆိုရင်လဲ Application ID က fb3b0dbfee58fac8 ဖြစ်မှာဖြစ်ပါတယ်။ Create On Time ကတော့ File ကို ပထမဆုံးဖွင့်တဲ့အချိန်ဖြစ်ပြီး last Modified Time ကတော့ File ကိုနောက်ဆုံး အသုံးပြုတဲ့အချိန်ဖြစ်ပါတယ်။ Interaction Time ကတော့ အခု File ကိုဖွင့်တဲ့ အကြိမ်အရေအတွက်ဖြစ်ပါတယ်။  Jump List ကနေရတဲ့ အခြား Information တွေကိုပုံမှာ ကြည့်နိုင်ပါတယ်။ 

automaticDestination.ms

customDestination.ms

automaticDestination.ms File တစ်ခုဖြစ်တဲ့ fb3b0dbfee58fac8.automaticDestinations-ms ကို အောက်ပါအတိုင်း EZ Toole ဖြစ်တဲ့ JLECmd နဲ့ Analysis လုပ်ကြည့်ပါမယ်။ --ld ကတော့ Detail information ကိုသိချင်တဲ့အတွက်ဖြစ်ပါတယ်။ Out Put Time က UTC Time ဖြစ်တဲ့အတွက် UTC 6+30 Myanmar Time ကို Commercial Tools တစ်ခုနဲ့ယှဉ်ပြီးပြထားပါတယ်။ 

automaticDestination.ms Directory တစ်ခုလုံးကို CSV File Type အနေနဲ့ Analysis လုပ်တာဖြစ်ပါတယ်။

 

CustomDestination.ms Directory တစ်ခုလုံးကို CSV File Type အနေနဲ့ Analysis လုပ်တာဖြစ်ပါတယ်။ Taskbar ကို Pinned လုပ်ထားတာအပြင် Edge Browser Recently Close ကိုပါတွေ့ရမှာဖြစ်ပါတယ်။ 

User ကနေ Pinned ပြုလုပ်ထားတဲ့ Application တွေသိနိုင်တဲ့နောက်တစ်နေရာကတော့

C:\Users\UserName\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

User Pinned Application တွေကို NTUSER.DAT ထဲက  SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Taskband  ကနေလဲတွေ့နိုင်ပါတယ်။ EZ Tools က Jump List တွေကိုကြည့်ဖို့အတွက် Jump List Explorer ကိုလဲအသုံးပြုနိုင်ပါတယ်။