Материал просмотрен 380 раз(а)

Сегодня статья из разряда форензики (компьютерной криминалистики), недавно узнал интересное место, где хранится что-то вроде истории открытий файлов, которой можно воспользоваться с целью сбора интересующей информации при расследовании компьютерных инцидентов.

Способ касается современных операционных систем (старше Windows 7).

На самом деле много где остаётся информация об открытых файлах, документах и посещений каталогов. Система на удивление любит “натоптать”. Итак, приступим.

Как-то на глаза мне попались какие-то файлы с расширением “.automaticDestinations-ms”, о таких я раньше не слышал. Находятся они в каталоге:

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\

Файл представляет собой что-то вроде базы данных наиболее часто используемых файлов. Несмотря на плохо читаемые имена файлов (16 hex-цифр, напоминает буквенно-цифровой хеш), это конкретные константы, в частности файл “a7bd71699cd38d1c” всегда отвечает за Word 2010 (32-bit), а “adecfb853d77462a” – за Word 2007 и т.д. (Где взять расширенный список я подскажу ниже).

При клике правой кнопкой мыши на панели задач конкретного приложения мы увидим нечто подобное:

2016-12-04_22-13-29

Так каждая программа пишет в свой конкретный файл.

Итак, открываются эти файлы прекрасно различными специализированными программами, я пользуюсь JumpLister.

2016-12-04_21-53-13

Открываем файл в программе и видим следующее. Цифрой 1 я пометил общий список файлов, который открывался. Что характерно здесь – есть путь к файлу (справа), а так же неплохое поле – MAC-адрес хоста, создавшего документ. В частности здесь видно, что первый файл создан на одном компьютере, второй и третий – на другом. Если выбрать конкретную запись, то увидим детали этого файла.

Кстати, файл AppIds.txt в каталоге с программой – и есть список имён файлов и приложений.

Поговорим ещё немного об этих файлах, поскольку они могут как помочь вам расследовать какой-либо инцидент или замести за собой следы (просто как факт того, что информация об открытых файлах где-то отложилась).

Итак, настроить количество записей в эти файлы можно тут:

2016-12-04_22-17-54

Или в реестре:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_JumpListItems.