Windows ShellBags: Dijital İzlerin Sessiz Tanığı

ShellBags; klasör görünüm ayarları, pencere boyutu, sütun genişlikleri ve sıralama gibi tercihleri Registry’de saklayan veri yapılarıdır. Kullanıcı, bir klasörü yeniden açtığında Windows, bu ayarları kullanarak son durumu geri yükler.

Registry’de ShellBags’in Yeri

ShellBags verileri aşağıdaki dört temel Registry yolunda tutulur:

• HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBagMRU
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellBags
• HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBagMRU
• HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftWindowsShellBags

Yapısı ve Hiyerarşisi

BagMRU

Klasör hiyerarşisini yansıtır.
Alt anahtarlar, klasör seviyelerini temsil eder. Her klasör MRUListEx ile son erişim sıralamasına göre izlenebilir.

Bags

Her klasörün görsel ayarlarını saklar. Shell ID ile BagMRU’daki klasör yapısı, Bags ile eşleştirilir.

ShellBags Ne İşe Yarar?

1. Silinen İçeriğin İzlenmesi
   ShellBags kayıtları, artık sistemde bulunmayan klasörlerin bile varlığını doğrulayabilir. Harici cihazlardan silinen klasör yapıları bile bu verilerde saklı kalabilir.

2. Zaman Çizelgesi Oluşturma
   MRUListEx sayesinde klasörlerin ne zaman görüntülendiği anlaşılır. Sık kullanılan klasörler listede üst sıralarda yer alır.

3. Harici Cihaz Takibi
   USB bellek veya harici disklerin klasör yapıları, cihaz adı ve seri numarası gibi bilgiler ShellBags içinde bulunabilir.

4. Ağ ve Bulut Erişim İzleri
   ShellBags, ağ paylaşım yolları, FTP bağlantıları, OneDrive gibi bulut servislerine erişim bilgilerini de barındırır.

Gelişmiş Analiz Teknikleri
Zaman Korelasyonu

ShellBags zaman damgaları, USN Journal, Event Log, Prefetch ya da NTFS MFT gibi diğer artefaktlarla karşılaştırılarak olayın bütünlüğü analiz edilebilir.

Klasör Yapısının Rekonstrüksiyonu

Silinmiş klasörlerin eski hiyerarşisi, BagMRU verilerinden çıkarılabilir.

Kullanıcı Davranış Profilleme

Sık ziyaret edilen klasörler, tercih edilen görünümler ve etkinlik saatleri analiz edilerek kullanıcı alışkanlıkları ortaya konabilir.

Anti-Forensic Teknikler ve Karşı Önlemler

Silme ve Temizleme Yöntemleri

CCleaner gibi araçlar, Registry temizleyiciler veya manuel müdahalelerle ShellBags kayıtları silinmeye çalışılabilir.

Hive Manipülasyonu

Offline düzenleme, hex editör kullanımı veya eski hive dosyalarının yüklenmesi gibi yöntemlerle izler değiştirilmek istenebilir.

Sistem Bazlı Teknikler

Windows’u sıfırlamak, kullanıcı profili silmek, sanal makineler ya da Live USB kullanmak da yaygın yöntemlerdir.

Sahte Kayıt Oluşturma

Zaman damgalarını değiştirerek, gerçek olmayan erişim izleri üretmek mümkündür.

Tespit Yöntemleri

ShellBags verileri; Event Log, Shadow Copy, RAM analizleri ve çapraz zaman çizelgesi değerlendirmesiyle doğrulanabilir.

Kullanılan Araçlar

• ShellBags Explorer
• ShellBag Parser (TZWorks)
• RegRipper + Plugins
• KAPE
• X-Ways Forensics, Magnet AXIOM, EnCase, FTK

Yeni yaklaşımlar arasında:

• GPU hızlandırmalı analiz
• Makine öğrenimi ile kullanıcı modeli çıkarımı
• Otomatik timeline oluşturma sistemleri
• Cloud tabanlı analiz araçları yer alıyor

Vaka Örnekleri

1. Kurumsal Veri Hırsızlığı
   Bir çalışanın USB ile veri sızdırdığı tespit edildi. ShellBags verileri, klasör yapısını, kullanım zamanlarını ve bağlantıları belgeledi.

2. İç Tehdit
   Yetkisi olmayan klasörlere erişim sağlayan bir yöneticinin tüm hareketleri ShellBags üzerinden takip edildi.

3. APT Saldırısı
   Kötü amaçlı yazılımın sistem içindeki hareketleri ve ilgilendiği klasörler tespit edildi. Saldırı zaman çizelgesi oluşturuldu.

ShellBags, modern adli bilişim çalışmalarının vazgeçilmez bileşenlerinden biridir. Silinmiş verilerin izi, kullanıcı davranışları ve sistem erişimleri bu kayıtlar üzerinden aydınlatılabilir. Gelecekte işletim sistemlerindeki değişimlere paralel olarak ShellBags yapısı da evrilecektir.