Файлы LNK являются относительно простым, но ценным артефактом для исследователя судебной экспертизы. Это ярлыки, которые ссылаются на приложение или файл, обычно встречающиеся на рабочем столе пользователя или во всей системе, и заканчиваются расширением .lnk. Файлы LNK могут быть созданы пользователем или автоматически операционной системой Windows. У каждого есть своя ценность и смысл. Созданные Windows файлы LNK генерируются, когда пользователь открывает локальный или удаленный файл или документ, предоставляя следователям ценную информацию о деятельности подозреваемого при исследовании операционной системы криминалистом.
рассмотрим следы которые остались в системе (не в полном объеме).
Последние файлы: в пользовательской среде
Последние файлы: в системе
Последние файлы: в реестре
Более подробное рассмотрение Forensics Windows Registry и Форензика Prefetch в Windows
Многие очень любят программы NirSoft я тоже их использую, но под каждую задачу требуются разные методы,OpenSaveFilesView раньше показывала всю интересующую информацию но сейчас к сожалению нет,
пример - картинка
как видно следы файла Sunnych.pdf отсутствуют в данной программе, хотя мы этот файл записали/сохранили из сети, и открыли, но увы все познается в сравнении
Но я очень люблю программы NirSoft и мы знаем что открывался документ .pdf, следовательно следы остались в реестре ключа Recent Docs .pdf, а для этого существует (для оправдания NirSoft рассмотрим чуточку под другим углом) RecentFilesView (да это не честно, но ... больше для оправдания nirsoft так как статья о LNK, а не о реестре)
Воспользуемся программой MiTec Windows Registry Recovery одну программу MiTec я уже рассматривал Forensics Windows Registers all in one program
все видно на screen сетевой адресс, MAC адресс, временная шкала, размер файла.
Теперь проверим так ли это и рассмотрим тот компьютер с которого скопирован файл Sunnych.pdf и с которого он же был открыт.
Примечание: файл Sunnych.pdf и файл INFO_совершенно секретно.txt были скопированы по сети с помощью проводника windows и информация в альтернативном потоке отсутствует (подробнее Форензика альтернативного потока данных (Zone.Identifier) в NTFS ) так же файл INFO_совершенно секретно.txt удаленно не открывался - для сравнения и примера.
Ещё один корейский
Ещё один точечный инструмент RustyLnk -> help без screen он подобен lifer описанному выше
Ещё один инструмент lnk-parse есть пример в этой статье Forensics Windows Registry - история запуска программ
Ещё одна программа
P:SПродолжение статьи [1 часть] WINHEX. Практический пример извлечения даты и времени, из файлов ярлыков Windows.
Значение ссылок в судебных экспертизах The Meaning of Linkfiles In Forensic Examinations (en)
Многому можно научится из книг Форензика и само собой практика и сравнения.
- Исходный путь файла/объекта и временные метки объекта, на который ссылается ярлык
- Идентификатор тома, с которого был открыт файл (программный серийный номер файловой системы – весьма переменчивая величина, задаётся при форматировании раздела)
- Информация об объеме и системе, в которых хранится файл LNK. Это будет включать в себя имя тома/идентификатор тома, с которого был открыт файл (программный серийный номер файловой системы – весьма переменчивая величина, задаётся при форматировании раздела), серийный номер
- Сведения о сети, MAC-адрес тома, с которого был открыт файл (сетевой адрес) если файл был сохранен на сетевом ресурсе или удаленном компьютере
- Размер файла связанного файла/объекта в байтах
рассмотрим следы которые остались в системе (не в полном объеме).
Последние файлы: в пользовательской среде
Последние файлы: в системе
Код:
c:\Users\{user}\AppData\Roaming\Microsoft\Windows\Recent\Многие очень любят программы NirSoft я тоже их использую, но под каждую задачу требуются разные методы,
пример - картинка
Воспользуемся программой MiTec Windows Registry Recovery одну программу MiTec я уже рассматривал Forensics Windows Registers all in one program
Теперь проверим так ли это и рассмотрим тот компьютер с которого скопирован файл Sunnych.pdf и с которого он же был открыт.
Примечание: файл Sunnych.pdf и файл INFO_совершенно секретно.txt были скопированы по сети с помощью проводника windows и информация в альтернативном потоке отсутствует (подробнее Форензика альтернативного потока данных (Zone.Identifier) в NTFS ) так же файл INFO_совершенно секретно.txt удаленно не открывался - для сравнения и примера.
Компьютер с файлом Sunnych.pdf
Ещё один точечный инструмент lifer
Код:
lifer_win_x64.exe "c:\Users\toor\AppData\Roaming\Microsoft\Windows\Recent\Sunnych (2).lnk"
Ссылка скрыта от гостей
Ещё один точечный инструмент RustyLnk -> help без screen он подобен lifer описанному выше
Ещё один инструмент lnk-parse есть пример в этой статье Forensics Windows Registry - история запуска программ
Ещё одна программа
Ссылка скрыта от гостей
с оболочкой очень объемный инструмент, выбираем папку пользователя и получаем (в ширину Screen не поместиться я его нарезал полосами и расположил сверху вниз по порядку, только один файл - и все равно кое что не поместилось):- Разбирает один элемент, несколько выбранных элементов или рекурсивно над папкой или смонтированным криминалистическим изображением
- Multi-Select отдельных файлов
- Экспорт в CSV для легкого анализа
- GUI поддерживает сортировку даты / времени
- Выведено более 30 атрибутов
Значение ссылок в судебных экспертизах The Meaning of Linkfiles In Forensic Examinations (en)
Ссылка скрыта от гостей
Многому можно научится из книг Форензика и само собой практика и сравнения.
Последнее редактирование:
