DIGITAL FORENSICS: Free Tools To Analyze Windows LNK Shortcut Files
Windows Forensic .LNK files-Part 1
.LNK ไฟล์นามสกุล
.LNK File Extension
Developer: Microsoft
File Type: Windows File Shortcut File
Popularity:
File Type: Windows File Shortcut File
Popularity:
What are LNK Files?
LNK FILES คืออะไร
ไฟล์ LNK คืออะไร เป็นทางลัดหรือ "ลิงค์" ที่ Windows ใช้เป็นข้อมูลอ้างอิงไปยังไฟล์ต้นฉบับ
ไฟล์ .LNK ( ดอทลิงก์) เชื่อมโยงกับ Windows File Shortcut เป็นไฟล์ที่มีรูปแบบ Binary และอยู่ในหมวด System Files มีขนาดประมาณ 1-2 KB แสดงที่อยู่ใน LNK ไฟล์
โดยทั่วไปไฟล์ LNK จะใช้ไอคอนเดียวกับไฟล์เป้าหมาย แต่เพิ่มลูกศรโค้งเล็ก ๆ เพื่อระบุว่าไฟล์นั้นชี้ไปยังตำแหน่งอื่น เมื่อดับเบิลคลิกที่shortcut จะทำหน้าที่เช่นเดียวกับที่ผู้ใช้คลิกไฟล์ต้นฉบับ
 |
| Autopsy shortcut |
LNK FILES คืออะไร
ไฟล์ LNK เป็นสิ่งสำคัญช่วยในการสืบสวนสำหรับผู้ตรวจสอบทาง Digital Forensics ไฟล์ LNKเป็นไฟล์ทางลัด(shortcut files )ที่เชื่อมโยงไปยังแอปพลิเคชันหรือไฟล์ที่พบได้ทั่วไปบนเดสก์ท็อปของผู้ใช้หรือทั่วทั้งระบบและลงท้ายด้วยนามสกุล. LNK ผู้ใช้สามารถสร้างไฟล์ LNK หรือถูกสร้างโดยระบบปฏิบัติการ Windows โดยอัตโนมัติ ไฟล์ LNK ที่สร้างจาก Windows จะถูกสร้างขึ้นเมื่อผู้ใช้เปิดไฟล์หรือเอกสารในตัวเครื่องหรือจาก Remote จาก Network โดยให้ข้อมูลที่มีค่าเกี่ยวกับกิจกรรมของผู้ต้องสงสัยWhy are LNK Files Important to Your Digital Forensics Investigation?
ทำไมไฟล์ LNK จึงมีความสำคัญต่อการสืบสวน Digital Forensics ?ไฟล์ LNK เป็นสิ่งสำคัญสำหรับผู้ตรวจสอบทางDigital Forensics ที่พยายามค้นหาไฟล์ที่อาจไม่มีอยู่ในระบบที่พวกเขากำลังตรวจสอบอยู่ ไฟล์อาจถูกลบหรือเก็บไว้ใน USB หรือเครือข่ายที่แชร์ดังนั้นแม้ว่าไฟล์อาจจะไม่มีอยู่แล้ว ไฟล์ LNK ที่เชื่อมโยงกับไฟล์ต้นฉบับจะยังคงอยู่ (และเปิดเผยข้อมูลที่มีค่าเกี่ยวกับสิ่งที่ถูกดำเนินการบนระบบ).
 |
| Link Parser |
- Parses a single item, multiple selected items, or recursively over a folder or mounted forensic image
- Multi-Select individual files
- Exports to CSV for easy analysis
- GUI supports Date/Time sorting
- Over 30 attributes extracted
- Free for both personal and commercial use
 |
| MAC Time |
 |
| File Size |
 |
| Recent Documents |
 |
| serial number |
 |
| Export To CSV |
2. Download lnkanalyser.v.1.0.1.zip Tools
#lnkanalyser -i [path\]shortcut.lnk
 |
| Lnkanalyser |
สิ่งสำคัญที่ต้องพบเมื่อทำการตรวจสอบไฟล์ LNK
โดยทั่วไปไฟล์ LNK จะมีรายการของค่าหลักฐานต่อไปนี้:
L LNK files typically contain the following items of evidentiary value:
- Path of the LNK file
- Path of the file being linked to
- MAC times for the LNK file
- Volume name and serial number
- NetBIOS name and MAC address of source computer
 |
| Lnkanalyser |
3. LNK Parser
 |
| LNK Parser |
Command-line Usage
Example 1: lnk_parser_cmd.exe shortcut.lnk
Example 2: lnk_parser_cmd.exe C:\Users\User\Desktop
 |
| LNK Parser |
5.LECmd 1.3.2.0 Parse lnk files
https://github.com/EricZimmerman/LECmd
Examples: LECmd.exe -f "C:\Temp\foobar.lnk"
 |
| LECmd |
 |
| Shoutcut Analysis |
 |
| Windows File Analyzer |
 |
| Windows File Analyzer |
ที่มา:
https://www.magnetforensics.com/blog/forensic-analysis-of-lnk-files/
https://bit.ly/312JORX
https://filesemut.com/lnk-file-extension
https://www.errorkit.com/file-extensions/lnk-4325
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment