Статья [1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows.

  • Автор темы Автор темы Forgot
  • Дата начала Дата начала
  • Теги Теги
    forensic
Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en)
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу: C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него.

Вот эти ссылки мы и будем изучать

При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.

1 ссылка.png
1 открыт несколько раз.png

В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.

hex data.jpg
на фотографии даты выделены цветом, красным дата создания, синим дата открытия и зеленым дата изменения.
Если три даты одинаковы то это указывает на то, что исследуемый файл был открыт единожды (не всегда, объясню ниже).

В том случае если, после того как для целевого файла будет создана ссылка (по указанному выше адресу), открыть файл с таким же именем
но по другому адресу (например с Флешки) то новой ссылки создано не будет, для уже существующей ссылки изменится адрес расположения, неизменным останется дата создания.

Ссылки на файлы сохраненные с браузера (Изображения, или веб страница) создаются при сохранении данных автоматически, для других типов при открытии.
Если сохранять изображение или веб страницу с браузера internet explorer, то в созданной автоматически ссылки даты будут отсутствовать.
lnk IE.png

В конце файла-ссылки содержится атрибут $ OBJECT_ID, этот атрибут поможет нам понять историю переименовывания файла.
Идентификатор $OBJECT_ID состоит из четырёх атрибутов которые определены в виде структуры:
ObjectId
Идентификатор объекта файловой системы. Уникален в пределах тома.
BirthVolumeId
Идентификатор тома, на котором был создан файл.
BirthObjectId
Идентификатор файла при создании. Значение может отличаться от ObjectId.
DomainId
Зарезервировано. Не используется.
Если открыть целевой файл и переименовать его, то для него будут созданы две ссылки (первая ссылка при открытии вторая при сохранении) первая ссылка работать не будет (так как не соответствует имя).
связать эти две ссылки с одним файлом нам поможет идентификатор $ OBJECT_ID у этих двух ссылок он будет одинаковым.
file id.jpg
file id2.jpg
 

Вложения

  • file id2.png
    file id2.png
    3,8 КБ · Просмотры: 622
  • file id.png
    file id.png
    4,5 КБ · Просмотры: 909
Последнее редактирование модератором:
В конце файла-ссылки содержится атрибут $ OBJECT_ID, этот атрибут поможет нам понять историю переименовывания файла.
Если открыть целевой файл и переименовать его, то для него будут созданы две ссылки(первая ссылка при открытии вторая при сохранении) первая ссылка работать не будет(так как не соответствует имя).
связать эти две ссылки с одним файлом нам поможет атрибут $ OBJECT_ID у этих двух ссылок он будет одинаковым.
а можно подробнее - выделить где они там одинаковые.
forgot статьи супер!!!
 
  • Нравится
Реакции: IioS, forgot и MLNK
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!