読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(32) Jump Lists

LinkInfo構造の続きとしては、VolumeID構造に続きLocalBasePath (variable)が続きます。LocalBasePathにファイルパスが記録されています。

データとしては更にPage 28のExtraData構造が続く形になります。ExtraDataには幾つかのプロパティデータブロックがありますが、これらはBlockSignatureで区別する事になります。以下はExtraData部分を抜粋したものですが、先頭4バイト 39 00 00 00 が BlockSize ですので、57byte 分になります。

39 00 00 00 09 00 00 A0 2D 00 00 00 31 53 50 53
55 28 4C 9F 79 9F 39 4B A8 D0 E1 D4 2D E1 D5 F3
11 00 00 00 07 00 00 00 00 0B 00 00 00 FF FF 00
00 00 00 00 00 00 00 00 00

先頭4バイトの次にある 4 バイトが BlockSignature になります。上記では 09 00 00 A0 ですので、0xA0000009 になり、PropertyStoreDataBlock という事になります。(Page 39)
Property storage structure になりますので、レジストリのWindows Shell Item構造として出てきた MS-PROPSTORE 構造としてパースしていく事になります。

いずれにしても、ExtraData構造が続く場合には、BlockSignature の値を確認して、MS-SHLINKで該当構造を確認する事になります。手元のデータでは、0xA0000009 の次には、0xA0000003 のブロックシグネチャが出現し、TrackerDataBlock(Page 41)が続いている状況でした。TrackerDataBlock には MachineID として NetBIOS name が収納されていたりします。