Saturday, November 23, 2019

DIGITAL FORENSICS: Free Tools To Analyze Windows LNK Shortcut Files

DIGITAL FORENSICS: Free Tools To Analyze Windows LNK Shortcut Files

Windows Forensic .LNK files-Part 1

.LNK ไฟล์นามสกุล

.LNK File Extension

Developer: Microsoft
File Type: Windows File Shortcut File
Popularity:

What are LNK Files?

LNK FILES คืออะไร

ไฟล์ LNK คืออะไร เป็นทางลัดหรือ "ลิงค์" ที่ Windows ใช้เป็นข้อมูลอ้างอิงไปยังไฟล์ต้นฉบับ

ไฟล์ .LNK ( ดอทลิงก์) เชื่อมโยงกับ Windows File Shortcut เป็นไฟล์ที่มีรูปแบบ Binary และอยู่ในหมวด System Files มีขนาดประมาณ 1-2 KB แสดงที่อยู่ใน LNK ไฟล์ 

LNKไฟล์สามารถสร้างได้ใน Windows โดยคลิกขวาที่ไฟล์จากนั้นเลือก "create shortcut" 

โดยทั่วไปไฟล์ LNK จะใช้ไอคอนเดียวกับไฟล์เป้าหมาย แต่เพิ่มลูกศรโค้งเล็ก ๆ เพื่อระบุว่าไฟล์นั้นชี้ไปยังตำแหน่งอื่น เมื่อดับเบิลคลิกที่shortcut จะทำหน้าที่เช่นเดียวกับที่ผู้ใช้คลิกไฟล์ต้นฉบับ
ไฟล์ LNK พร้อมทางลัดไปยังโปรแกรม (ไฟล์. EXE) สามารถระบุคุณสมบัติสำหรับวิธีการเรียกใช้โปรแกรม ในการตั้งค่าคุณสมบัติให้คลิกขวาที่ไฟล์ทางลัดเลือก "Properties" และแก้ไขฟิลด์ Target
 
Autopsy shortcut

LNK FILES คืออะไร

ไฟล์ LNK เป็นสิ่งสำคัญช่วยในการสืบสวนสำหรับผู้ตรวจสอบทาง Digital Forensics   ไฟล์ LNKเป็นไฟล์ทางลัด(shortcut files )ที่เชื่อมโยงไปยังแอปพลิเคชันหรือไฟล์ที่พบได้ทั่วไปบนเดสก์ท็อปของผู้ใช้หรือทั่วทั้งระบบและลงท้ายด้วยนามสกุล. LNK ผู้ใช้สามารถสร้างไฟล์ LNK หรือถูกสร้างโดยระบบปฏิบัติการ Windows โดยอัตโนมัติ  ไฟล์ LNK ที่สร้างจาก Windows จะถูกสร้างขึ้นเมื่อผู้ใช้เปิดไฟล์หรือเอกสารในตัวเครื่องหรือจาก Remote จาก Network โดยให้ข้อมูลที่มีค่าเกี่ยวกับกิจกรรมของผู้ต้องสงสัย

Why are LNK Files Important to Your Digital Forensics Investigation?

ทำไมไฟล์ LNK จึงมีความสำคัญต่อการสืบสวน Digital Forensics ?
ไฟล์ LNK เป็นสิ่งสำคัญสำหรับผู้ตรวจสอบทางDigital Forensics ที่พยายามค้นหาไฟล์ที่อาจไม่มีอยู่ในระบบที่พวกเขากำลังตรวจสอบอยู่  ไฟล์อาจถูกลบหรือเก็บไว้ใน USB หรือเครือข่ายที่แชร์ดังนั้นแม้ว่าไฟล์อาจจะไม่มีอยู่แล้ว ไฟล์ LNK ที่เชื่อมโยงกับไฟล์ต้นฉบับจะยังคงอยู่ (และเปิดเผยข้อมูลที่มีค่าเกี่ยวกับสิ่งที่ถูกดำเนินการบนระบบ).

Link Parser
1. Download Link Parser V1.3
  • Parses a single item, multiple selected items, or recursively over a folder or mounted forensic image
  • Multi-Select individual files
  • Exports to CSV for easy analysis
  • GUI supports Date/Time sorting
  • Over 30 attributes extracted
  • Free for both personal and commercial use
MAC Time
File Size
Recent Documents
 serial number
Export To CSV

2. Download lnkanalyser.v.1.0.1.zip Tools
#lnkanalyser -i [path\]shortcut.lnk
Lnkanalyser
   สิ่งสำคัญที่ต้องพบเมื่อทำการตรวจสอบไฟล์ LNK
โดยทั่วไปไฟล์ LNK จะมีรายการของค่าหลักฐานต่อไปนี้:
L  LNK files typically contain the following items of evidentiary value:
  •   Path of the LNK file 
  •   Path of the  file being linked to
  • MAC times for the LNK file
  • Volume name and serial number
  • NetBIOS name and MAC address of source computer
Lnkanalyser

3. LNK Parser

LNK Parser

Command-line Usage

Example 1: lnk_parser_cmd.exe shortcut.lnk
Example 2: lnk_parser_cmd.exe C:\Users\User\Desktop
LNK Parser
 4. LNK File Previewer v.10


5.LECmd  1.3.2.0 Parse lnk files
https://github.com/EricZimmerman/LECmd
Examples: LECmd.exe -f "C:\Temp\foobar.lnk"
LECmd 
6. Windows File Analyzer V2.8.0

Shoutcut Analysis
Windows File Analyzer
Windows File Analyzer

ที่มา:
https://www.magnetforensics.com/blog/forensic-analysis-of-lnk-files/
https://bit.ly/312JORX
https://filesemut.com/lnk-file-extension
https://www.errorkit.com/file-extensions/lnk-4325

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment