Содержание
Здравствуйте! Сегодня я расскажу немного о том, как файлы с расширением LNK (ярлыки, недавние документы) могут сообщить некоторую информацию, которая может быть полезна.
Для справки, данный каталог находится по следующему пути (для Windows 7):
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent
Какая информация содержится в ярлыках
Немногие знают, но в файлах LNK содержится следующая полезная информация:
- Временные метки объекта, на который ссылается ярлык;
- Размер объекта в байтах;
- Тип тома, с которого был открыт файл (например съемный или статический раздел);
- Идентификатор тома, с которого был открыт файл (программный серийный номер файловой системы – весьма переменчивая величина, задаётся при форматировании раздела);
- MAC-адрес тома, с которого был открыт файл (сетевой адрес).
Программа для анализа ярлыков
Для облегчения извлечения данной информации существует множество различных программ. Я нашёл довольно неплохой вариант (Freeware, около 1,2 Мб) – Windows File Analyzer.
Возможности программы не ограничиваются одним только анализом ярлыков, есть и анализ файлов Prefetch, анализ Thumbs.db и некоторые другие фишки. В общем программа достойная!
Идентифицируем съемный диск
В примере выше я открыл документ с флешки, поработал с ним и закрыл. А в каталоге Recent (недавние документы), отложилась необходимая информация (подсвечено синим): метка тома съемного устройства, размер файла, дата записи и т.д.
А теперь покажу вывод команды dir на этой флешке:
Видим тот же самый файл, совпадает размер, время записи, а также метка тома и серийный номер тома! Таким образом можно идентифицировать флешку, с которой запускался документ (конечно, если она не была отформатирована).
Идентифицируем сетевой ресурс
Но и это ещё не всё! Запустим виртуалку, расшарим папку и откроем какой-либо документ из этой папки:
Программа отобразит путь до открываемого объекта, а также, что достаточно важно, MAC-адрес сетевого устройства.
Посмотрим теперь на MAC-адрес виртуальной машины:
Как видим, он полностью совпадает с меткой в ярлыке открытого документа.
Выводы
Выводы можно сделать вполне однозначные – ярлыки недавно открытых документов несут достаточно большой объем метаданных, которые позволяют довольно точно идентифицировать сетевой ресурс или съемный носитель, с которого производилось открытие документа, что в свою очередь, может послужить хорошей уликой в доказательной базе при расследовании какого-либо компьютерного инцидента.
Годно