Friday, January 22, 2021

DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 3

DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 3


วันนี้เราลองมาทดลองทำ Lab  WINDOWS FORENSIC  LNK File โดยใช้ LECmd  ต่อจาก PART 2

เครื่องมือ

Location

Normally, most of LNK-files are located on the following paths:

  • For Windows 7 to 10: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
  • อย่างไรก็ตามมีที่อื่น ๆ อีกมากมายที่ผู้ตรวจสอบสามารถค้นหาไฟล์ LNK ได้: บนเดสก์ท็อป (ทางลัดดังกล่าวมักสร้างขึ้นโดยผู้ใช้สะดวกในการเข้าถึงเอกสารและแอพอย่างรวดเร็ว)
จากภาพด้านซ้าย
shows what the lnk files look like to the user.

shows some other files are displayed in the forensic tool FTK Imager


1 เมื่อเราเปิดหรือ Run ไฟล์ ZIP-Password-BruteForcer.py
2.Lnk File  จะถูกสร้างขึ้น จากการเปิดไฟล์ และสังเกตุว่า มีวันที่สร้าง(Created)และวันที่แก้ไข (Modified) เท่ากัน  หมายความว่าเราเพิ่งเปิดไฟล์ครั้งเดียว
3. ใน Lnk File  หากวันที่แก้ไข (Modified)ช้ากว่าวันที่สร้าง (Created) หมายความว่า เราเปิดมันมากกว่าหนึ่งครั้ง
4. เมื่อกลับไปดู Timestamp ของไฟลฺต้นฉบับ จะแสดงให้เห็นว่า วันที่และเวลาแตกต่างกันกับ วันเวลาของ Lnk File  เพราะ วันที่และเวลาของไฟล์นี้คือ วันที่และเวลาของไฟล์ต้นฉบับ
5. หากไฟล์ต้นฉบับถูกลบไป  Lnk File  จะไม่ถูกลบไปด้วย เราสามารถค้นหาข้อมูลจาก Lnk File  เพื่อย้อนไปดูว่าเกิดอะไรขึ้นก่อนหน้านี้้
6. การที่เราจะดูข้อมูลจาก  Lnk File จำเป็นต้องใข้เครื่องมือ ใน lab เราจะใช้ เครืองมือ Eric Zimmerman LMC LECMD



ทำการอ่านค่า .LNK FILE โดยใช้โปรแกรม LECmd.exe


C:\Users\User\Downloads\LECmd>LECmd.exe -f C:\Users\User\AppData\Roa
ming\Microsoft\Windows\Recent\ZIP-Password-BruteForcer.py.lnk 

Source Create:  คือ วันเวลาสร้างของไฟล์ Lnk
Source Modified:  คือ วันเวลาแก้ไขของไฟล์ Lnk  ถ้าค่าสองครั้งนี้เท่ากันนั้นหมาบความว่าไฟล์ถูกเปิดเพียงครั้งเดียว
                                              ถ้ามีการเปิดไฟล์มากกว่าหนึ่งครุ้ง  ค่าเวลาแก้ไขของไฟล์จะแสดงค่าวันเวลาที่เปิดไฟล์
Drive type Removeable  สื่อบันทึกข้อมูลแบบถอดได้

#C:\Users\User\Downloads\LECmd>LECmd.exe -d "C:\Users\localadmin\AppData\Ro
aming\Microsoft\Windows\Recent" --csv "C:\Users\User\Downloads"
ทำการ Export ไฟล์ออกมาเพื่อง่ายในการวิเคราะห์


This file can tell an investigator if the user:

  • Has accessed a specific file
  • The name of the file
  • The original path to the target file (the file it is referencing)
  • MAC (Modified, Accessed, Created) timestamps of the target file and the .lnk file
  • The size of the target file
  • Attributes of the target file (read-only, hidden, system)

LNK files-Part


สรุป

ไฟล์ LNK เป็นไฟล์ระบบ Windows ซึ่งมีความสำคัญในการสืบสวนทางนิติวิทยาศาสตร์และการตอบสนองต่อเหตุการณ์แบบดิจิทัล พวกเขาอาจสร้างขึ้นโดยอัตโนมัติโดย Windows หรือด้วยตนเองโดยผู้ใช้ ด้วยความช่วยเหลือของไฟล์เหล่านี้คุณสามารถพิสูจน์การทำงานของโปรแกรมการเปิดเอกสารหรือการเริ่มของโปรแกรมประสงค์ร้ายหรือโค้ดอันตราย (malicious code)
การเลือกใช้เครื่องมือที่เหมาะสมสามารถช่วยคุณค้นหาไฟล์ LNK ที่มีอยู่กู้คืนไฟล์ที่ถูกลบและช่วยในการวิเคราะห์เนื้อหาได้

หมายเหตุ : ก่อนหน้านี้ ไฟล์ .LNK เคยถูกใช้เป็นช่องทางในการแพร่กระจายมัลแวร์ เช่น ใส่สคริปต์​เรียกคำสั่ง PowerShell เพื่อดาวน์โหลด​มัลแวร์​เรียก​ค่าไถ่ รูปแบบการโจมตี มีทั้งการฝังคำสั่งในไฟล์ .LNK เพื่อให้เรียก PowerShell, CMD.exe, MSHTA.exe หรือโปรแกรมอื่นๆ ที่สามารถรับคำสั่งแล้วนำไปประมวลผลได้

DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 2


ที่มา:The SANS 3MinMax series with Kevin Ripa

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment