Материал просмотрен 142 раз(а)

Здравствуйте! Сегодня я расскажу немного о том, как файлы с расширением LNK (ярлыки, недавние документы) могут сообщить некоторую информацию, которая может быть полезна.

Для справки, данный каталог находится по следующему пути (для Windows 7):
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent

Какая информация содержится в ярлыках

Немногие знают, но в файлах LNK содержится следующая полезная информация:

  • Временные метки объекта, на который ссылается ярлык;
  • Размер объекта в байтах;
  • Тип тома, с которого был открыт файл (например съемный или статический раздел);
  • Идентификатор тома, с которого был открыт файл (программный серийный номер файловой системы – весьма переменчивая величина, задаётся при форматировании раздела);
  • MAC-адрес тома, с которого был открыт файл (сетевой адрес).

Программа для анализа ярлыков

Для облегчения извлечения данной информации существует множество различных программ. Я нашёл довольно неплохой вариант (Freeware, около 1,2 Мб) – Windows File Analyzer.

Возможности программы не ограничиваются одним только анализом ярлыков, есть и анализ файлов Prefetch, анализ Thumbs.db и некоторые другие фишки. В общем программа достойная!

Главное окно программы Windows File Analyzer

Идентифицируем съемный диск

В примере выше я открыл документ с флешки, поработал с ним и закрыл. А в каталоге Recent (недавние документы), отложилась необходимая информация (подсвечено синим): метка тома съемного устройства, размер файла, дата записи и т.д.

А теперь покажу вывод команды dir на этой флешке:

Этот файл я открыл с флешкиВидим тот же самый файл, совпадает размер, время записи, а также метка тома и серийный номер тома! Таким образом можно идентифицировать флешку, с которой запускался документ (конечно, если она не была отформатирована).

Идентифицируем сетевой ресурс

Но и это ещё не всё! Запустим виртуалку, расшарим папку и откроем какой-либо документ из этой папки:

Открыт файл с сетевого хранилищаПрограмма отобразит путь до открываемого объекта, а также, что достаточно важно, MAC-адрес сетевого устройства.

Посмотрим теперь на MAC-адрес виртуальной машины:

Информация с виртуалкиКак видим, он полностью совпадает с меткой в ярлыке открытого документа.

Выводы

Выводы можно сделать вполне однозначные – ярлыки недавно открытых документов несут достаточно большой объем метаданных, которые позволяют довольно точно идентифицировать сетевой ресурс или съемный носитель, с которого производилось открытие документа, что в свою очередь, может послужить хорошей уликой в доказательной базе при расследовании какого-либо компьютерного инцидента.