Пример извлечения даты и времени, из файлов ярлыков Windows по документу: The Meaning of Linkfiles In Forensic Examinations (en)
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу:
Вот эти ссылки мы и будем изучать
При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.
В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.
на фотографии даты выделены цветом, красным дата создания, синим дата открытия и зеленым дата изменения.
Если три даты одинаковы то это указывает на то, что исследуемый файл был открыт единожды (не всегда, объясню ниже).
В том случае если, после того как для целевого файла будет создана ссылка (по указанному выше адресу), открыть файл с таким же именем
но по другому адресу (например с Флешки) то новой ссылки создано не будет, для уже существующей ссылки изменится адрес расположения, неизменным останется дата создания.
Ссылки на файлы сохраненные с браузера (Изображения, или веб страница) создаются при сохранении данных автоматически, для других типов при открытии.
Если сохранять изображение или веб страницу с браузера internet explorer, то в созданной автоматически ссылки даты будут отсутствовать.
В конце файла-ссылки содержится атрибут $ OBJECT_ID, этот атрибут поможет нам понять историю переименовывания файла.
Идентификатор $OBJECT_ID состоит из четырёх атрибутов которые определены в виде структуры:
ObjectId
Идентификатор объекта файловой системы. Уникален в пределах тома.
BirthVolumeId
Идентификатор тома, на котором был создан файл.
BirthObjectId
Идентификатор файла при создании. Значение может отличаться от ObjectId.
DomainId
Зарезервировано. Не используется.
Если открыть целевой файл и переименовать его, то для него будут созданы две ссылки (первая ссылка при открытии вторая при сохранении) первая ссылка работать не будет (так как не соответствует имя).
связать эти две ссылки с одним файлом нам поможет идентификатор $ OBJECT_ID у этих двух ссылок он будет одинаковым.
В ОС Windows при первом обращении к файлу на него в каталоге (по адресу:
C:\Users\NAME_USER\AppData\Roaming\Microsoft\Windows\Recent) будет создана ссылка на него.Вот эти ссылки мы и будем изучать
При первом открытии файла в ссылку запишется три даты, дата создания, изменения, открытия, при последующих обращения к файлу дата создания будет оставаться не изменой, даты изменения и открытия это дата последнего обращения к файлу.
В winhex открыв lnk файл, интересующие нас даты мы увидим в начале файла.
Если три даты одинаковы то это указывает на то, что исследуемый файл был открыт единожды (не всегда, объясню ниже).
В том случае если, после того как для целевого файла будет создана ссылка (по указанному выше адресу), открыть файл с таким же именем
но по другому адресу (например с Флешки) то новой ссылки создано не будет, для уже существующей ссылки изменится адрес расположения, неизменным останется дата создания.
Ссылки на файлы сохраненные с браузера (Изображения, или веб страница) создаются при сохранении данных автоматически, для других типов при открытии.
Если сохранять изображение или веб страницу с браузера internet explorer, то в созданной автоматически ссылки даты будут отсутствовать.
В конце файла-ссылки содержится атрибут $ OBJECT_ID, этот атрибут поможет нам понять историю переименовывания файла.
Идентификатор $OBJECT_ID состоит из четырёх атрибутов которые определены в виде структуры:
ObjectId
Идентификатор объекта файловой системы. Уникален в пределах тома.
BirthVolumeId
Идентификатор тома, на котором был создан файл.
BirthObjectId
Идентификатор файла при создании. Значение может отличаться от ObjectId.
DomainId
Зарезервировано. Не используется.
Если открыть целевой файл и переименовать его, то для него будут созданы две ссылки (первая ссылка при открытии вторая при сохранении) первая ссылка работать не будет (так как не соответствует имя).
связать эти две ссылки с одним файлом нам поможет идентификатор $ OBJECT_ID у этих двух ссылок он будет одинаковым.
Вложения
Последнее редактирование модератором:
