Windows Shellbag Forensic

Hari ini saya lagi belajar tentang Windows Shellbag Forensic. Ternyata dari shellbags kita bisa mengetahui berbagai info menarik yang bisa kita gunakan dalam memecahkan kasus digital forensik. Walaupun saya masih newbie tentang Forensik, saya akan coba share kegunaan mempelajari Shellbags dalam proses Digital forensik di OS Windows.

Apa sih fungsi Shellbag?

Di sistem operasi Windows ada bagian dari Registry yang dinamakan shellbags. Shellbag itu digunakan Windows untuk menyimpan informasi tentang kebiasaan kita ketika menampilkan sebuah folder di Windows Explorer. Misalnya ketika kita buka sebuah folder document, maka akan dicatat di shellbag kapan kita membuka folder tersebut. Selain itu Windows juga mencatat kebiasaan kita seperti misalnya kita senang menampilkannya data di folder tersebut dalam bentuk small icon, large icon maupun detail. Atau juga misalnya kita biasa melakukan sorting file berdasarkan ukurannya, maksudnya file dengan ukuran terbesar pada folder tersebut akan tampil paling atas. Atau berdasarkan waktu. Jadi file yang terbaru akan ditampilkan di urutan pertama, dll

Jadi kalo kita kemudian buka folder tersebut, maka folder akan ditampilkan persis seperti terakhir kali folder itu kita buka. Informasi ini disimpan di salah satu registry  key yg namanya shellbag.

Nah informasi di shellbag ini sangat berguna dalam proses digital forensik. Karena dengan mempelajari shellbag kita jadi tau kapan user membuka sebuah folder, folder apa yang dibuka oleh seorang user dll.

Contoh kasus, sebuah perusahaan menduga seorang karyawan X membocorkan sebuah dokumen rahasia perusahaan. Nah kita bisa lakukan forensik di komputer karyawan X dan mempelajari bagian registry yang namanya shellbags. Bila  karyawan X tersebut pernah membuka dokumen rahasia tersebut, maka di shellbags akan ditemukan informasi tersebut. Kapan karyawan X membuka folder yang berisi dokumen rahasia tersebut.

Kasus lainnya bila karyawan X menghapus sebuah dokumen rahasia perusahaan. Maka di komputer karyawan X bisa kita pelajari di shellbags, kapan file tersebut dihapus. Karena walaupun sebuah folder dihapus, shellbags-nya tetap ada.

Struktur Shellbag

Shellbag mempunyai dua bagian yaitu  BagMRU dan Bags.  BagMRU menyimpan nama folder dan lokasi (path) dari folder tersebut. Sementara Bags menyimpan informasi seperti ukuran window, lokasi window dan kebiasaan user dalam menampilkan folder (view mode). BagMRU adalah Desktop. “BagMRU\0”  menyimpan informasi tentang folder pertama yang dibuka user. “BagMRU\1” menyimpan informasi tentang folder berikutnya yang dibuka user dst.

Informasi di Shellbag

Beberapa informasi yang bisa diperoleh dari shellbags misalnya:

  • kapan folder ini dibuat,
  • kapan folder ini diakses,
  • Siapa yang mengakses
  • kapan folder ini dihapus
  • Kalo sebuah folder tidak pernah dibuka, maka tidak ada data tentang folder tersebut di shellbag.

Tools

Walaupun begitu tidak mudah untuk memahami isi dari shellbags. Kalo kita langsung tampilkan informasi Shellbag di registry pake regedit, maka dijamin bingung. Kita membutuhkan tools seperti Shellbags explorer ,  Registry Decoder, TZWorks sbag, dan RegRipper untuk memahaminya. Selain itu Shellbags untuk setiap versi Windows juga tidak sama. Misalnya di Windows 10, shellbagsnya berbeda dengan windows XP.

Cukup seru mempelajari shellbag ini. Perlu banyak latihan. Beberapa bahan bacaan tentang windows shellbag forensic:

https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545

http://www.williballenthin.com/forensics/shellbags/

https://www.magnetforensics.com/computer-forensics/forensic-analysis-of-windows-shellbags/

blog sans digital forensic dan blog lainya

Semoga Bermanfaat!

 

Silahkan tuliskan tanggapan, kritik maupun saran