DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 3
วันนี้เราลองมาทดลองทำ Lab WINDOWS FORENSIC LNK File โดยใช้ LECmd ต่อจาก PART 2
เครื่องมือ
Location
Normally, most of LNK-files are located on the following paths:
- For Windows 7 to 10: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
- อย่างไรก็ตามมีที่อื่น ๆ อีกมากมายที่ผู้ตรวจสอบสามารถค้นหาไฟล์ LNK ได้: บนเดสก์ท็อป (ทางลัดดังกล่าวมักสร้างขึ้นโดยผู้ใช้สะดวกในการเข้าถึงเอกสารและแอพอย่างรวดเร็ว)
จากภาพด้านซ้าย
shows what the lnk files look like to the user.
shows some other files are displayed in the forensic tool FTK Imager
1 เมื่อเราเปิดหรือ Run ไฟล์ ZIP-Password-BruteForcer.py
2.Lnk File จะถูกสร้างขึ้น จากการเปิดไฟล์ และสังเกตุว่า มีวันที่สร้าง(Created)และวันที่แก้ไข (Modified) เท่ากัน หมายความว่าเราเพิ่งเปิดไฟล์ครั้งเดียว
3. ใน Lnk File หากวันที่แก้ไข (Modified)ช้ากว่าวันที่สร้าง (Created) หมายความว่า เราเปิดมันมากกว่าหนึ่งครั้ง
4. เมื่อกลับไปดู Timestamp ของไฟลฺต้นฉบับ จะแสดงให้เห็นว่า วันที่และเวลาแตกต่างกันกับ วันเวลาของ Lnk File เพราะ วันที่และเวลาของไฟล์นี้คือ วันที่และเวลาของไฟล์ต้นฉบับ
5. หากไฟล์ต้นฉบับถูกลบไป Lnk File จะไม่ถูกลบไปด้วย เราสามารถค้นหาข้อมูลจาก Lnk File เพื่อย้อนไปดูว่าเกิดอะไรขึ้นก่อนหน้านี้้
6. การที่เราจะดูข้อมูลจาก Lnk File จำเป็นต้องใข้เครื่องมือ ใน lab เราจะใช้ เครืองมือ Eric Zimmerman LMC LECMD
C:\Users\User\Downloads\LECmd>LECmd.exe -f C:\Users\User\AppData\Roa
ming\Microsoft\Windows\Recent\ZIP-Password-BruteForcer.py.lnk
Source Create: คือ วันเวลาสร้างของไฟล์ Lnk
Source Modified: คือ วันเวลาแก้ไขของไฟล์ Lnk ถ้าค่าสองครั้งนี้เท่ากันนั้นหมาบความว่าไฟล์ถูกเปิดเพียงครั้งเดียว
ถ้ามีการเปิดไฟล์มากกว่าหนึ่งครุ้ง ค่าเวลาแก้ไขของไฟล์จะแสดงค่าวันเวลาที่เปิดไฟล์
Drive type Removeable สื่อบันทึกข้อมูลแบบถอดได้
#C:\Users\User\Downloads\LECmd>LECmd.exe -d "C:\Users\localadmin\AppData\Ro
aming\Microsoft\Windows\Recent" --csv "C:\Users\User\Downloads"
ทำการ Export ไฟล์ออกมาเพื่อง่ายในการวิเคราะห์
This file can tell an investigator if the user:
- Has accessed a specific file
- The name of the file
- The original path to the target file (the file it is referencing)
- MAC (Modified, Accessed, Created) timestamps of the target file and the .lnk file
- The size of the target file
- Attributes of the target file (read-only, hidden, system)
LNK files-Part
สรุป
ไฟล์ LNK เป็นไฟล์ระบบ Windows ซึ่งมีความสำคัญในการสืบสวนทางนิติวิทยาศาสตร์และการตอบสนองต่อเหตุการณ์แบบดิจิทัล พวกเขาอาจสร้างขึ้นโดยอัตโนมัติโดย Windows หรือด้วยตนเองโดยผู้ใช้ ด้วยความช่วยเหลือของไฟล์เหล่านี้คุณสามารถพิสูจน์การทำงานของโปรแกรมการเปิดเอกสารหรือการเริ่มของโปรแกรมประสงค์ร้ายหรือโค้ดอันตราย (malicious code)
การเลือกใช้เครื่องมือที่เหมาะสมสามารถช่วยคุณค้นหาไฟล์ LNK ที่มีอยู่กู้คืนไฟล์ที่ถูกลบและช่วยในการวิเคราะห์เนื้อหาได้
หมายเหตุ : ก่อนหน้านี้ ไฟล์ .LNK เคยถูกใช้เป็นช่องทางในการแพร่กระจายมัลแวร์ เช่น ใส่สคริปต์เรียกคำสั่ง PowerShell เพื่อดาวน์โหลดมัลแวร์เรียกค่าไถ่ รูปแบบการโจมตี มีทั้งการฝังคำสั่งในไฟล์ .LNK เพื่อให้เรียก PowerShell, CMD.exe, MSHTA.exe หรือโปรแกรมอื่นๆ ที่สามารถรับคำสั่งแล้วนำไปประมวลผลได้
DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 2
ที่มา:The SANS 3MinMax series with Kevin Ripa
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment