LNK Dosya Analizi
LNK Dosya Analizi
LNK (.lnk) dosyaları Windows’ta kısayol (shortcut)
dosyalarıdır. BU kısa yol dosyaları, başka bir veri nesnesine erişmek için
kullanılabilecek bilgileri içerir Microsoft bu dosyalar sayesinde, Windows
işletim sistemin daha hızlı çalışmasını amaçlamıştır. LNK dosyaları, kullanıcı tarafından veya
Windows işletim sistemi tarafından otomatik olarak oluşturulabilir. Bir
kullanıcı lokalde veya paylaşımlı bir alanda belgeyi/programı açtığında bir LNK
dosyası otomatik bir şekilde oluşmaktadır. LNK dosyaları, MAC süreleri,
dosyanın orijinal yolu, boyut, birim seri numarası, ağ birim paylaşımı, ana
bilgisayarın mac adresi gibi analiz için yararlı birçok veri içerir.
Forensics bakış açısı ile, bu dosyalar bir adli bilişim
vakası veya bir olay müdahalesi sırasında bizlere yardımcı olabilecek değerli
bilgilerdir. LNK dosyaları sayesinde, incelemekte olduğumuz sistem üzerinde
artık mevcut olmayabilecek dosyaları bulabiliriz. Dosyalar silinmiş, bir USB'den
veya ağ paylaşımında depolanmış olabilir, Bu nedenle şüpheli dosya artık orada
olmasa da orijinal dosyayla ilişkili LNK dosyaları var olmaya devam eder LNK
dosyası parse edilerek, dosyada ne yürütüldüğüne dair değerli bilgileri ortaya
çıkarılabilir Ayrıca MFT kayıt analizinde ”.lnk” dosyasını gördüğümüz bir
programın çalıştığının delili olarak sunulabilir.
LNK Files Location:
·
C:\{username}\AppData\Roaming\Microsoft\Windows\Recent items
·
C:\{username}\AppData\Roaming\Microsoft\Office\Recent
Registry Location:
(ntuser.dat)
·
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
LNK (.lnk) dosyaları
nasıl analiz edilir?
Bu dosyaları analiz etmeden önce bu dosyaların elde
edilmesi gerekmektedir. İlgili konumlardan dosyalar toplandıktan sonra,
exiftool LEcmd ve tzworks’un oluşturmuş olduğu Windows LNK Parsing Utility gibi
toollar kullanılabilir. Bu blog yazımda hem exiftool kullanılarak hemde LEcmd
kullanılarak analiz gerçekleştireceğim.
Exiftool kullnımı oldukça basittir.
exiftool(-k).exe yazıp entera baztığımız zaman tool
hakkında detayları bilfileri bize sunmaktadır.
Şimdi lnk dosyalarının olduğu dosya dizini göstererek
tool çalıştırıyoruz.
Görüldüğü gibi var olan tüm lnk dosyaların metadata
bilgilerini karşımıza getirmektedir.
LEcmd aracı kullanarak analiz işlemi
gerçekleştirilebilir; LEcmd.exe yazıp enterlıyoruz. Karşımıza tool hakkında
bilgiler çıkıyor.
Daha sonra
LECmd.exe -d “
"E:\Belgeler\Desktop\LNK\C\Users\MA\AppData\Roaming\Microsoft\Windows\Recent" --csv .
“
Komutunu yazıyoruz.
-d: LNK dosyalarının olduğu dizin
--csv: çıktının dosya formatı
Parse işlemi tamamlandıktan sonra karşımıza csv dosyası
sunmaktadır.
Kaynak:
[1]
https://www.magnetforensics.com/blog/forensic-analysis-of-lnk-files/
