LNK Dosya Analizi

 



LNK Dosya Analizi

LNK (.lnk) dosyaları Windows’ta kısayol (shortcut) dosyalarıdır. BU kısa yol dosyaları, başka bir veri nesnesine erişmek için kullanılabilecek bilgileri içerir Microsoft bu dosyalar sayesinde, Windows işletim sistemin daha hızlı çalışmasını amaçlamıştır.  LNK dosyaları, kullanıcı tarafından veya Windows işletim sistemi tarafından otomatik olarak oluşturulabilir. Bir kullanıcı lokalde veya paylaşımlı bir alanda belgeyi/programı açtığında bir LNK dosyası otomatik bir şekilde oluşmaktadır. LNK dosyaları, MAC süreleri, dosyanın orijinal yolu, boyut, birim seri numarası, ağ birim paylaşımı, ana bilgisayarın mac adresi gibi analiz için yararlı birçok veri içerir.

Forensics bakış açısı ile, bu dosyalar bir adli bilişim vakası veya bir olay müdahalesi sırasında bizlere yardımcı olabilecek değerli bilgilerdir. LNK dosyaları sayesinde, incelemekte olduğumuz sistem üzerinde artık mevcut olmayabilecek dosyaları bulabiliriz. Dosyalar silinmiş, bir USB’den veya ağ paylaşımında depolanmış olabilir, Bu nedenle şüpheli dosya artık orada olmasa da orijinal dosyayla ilişkili LNK dosyaları var olmaya devam eder LNK dosyası parse edilerek, dosyada ne yürütüldüğüne dair değerli bilgileri ortaya çıkarılabilir Ayrıca MFT kayıt analizinde ”.lnk” dosyasını gördüğümüz bir programın çalıştığının delili olarak sunulabilir.

LNK Files Location:

·         C:{username}AppDataRoamingMicrosoftWindowsRecent items

·         C:{username}AppDataRoamingMicrosoftOfficeRecent

 

Registry Location: (ntuser.dat)

·         HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerRecentDocs

LNK (.lnk) dosyaları nasıl analiz edilir?

Bu dosyaları analiz etmeden önce bu dosyaların elde edilmesi gerekmektedir. İlgili konumlardan dosyalar toplandıktan sonra, exiftool LEcmd ve tzworks’un oluşturmuş olduğu Windows LNK Parsing Utility gibi toollar kullanılabilir. Bu blog yazımda hem exiftool kullanılarak hemde LEcmd kullanılarak analiz gerçekleştireceğim.

Exiftool kullnımı oldukça basittir.

 

exiftool(-k).exe yazıp entera baztığımız zaman tool hakkında detayları bilfileri bize sunmaktadır.

Şimdi lnk dosyalarının olduğu dosya dizini göstererek tool çalıştırıyoruz.

Görüldüğü gibi var olan tüm lnk dosyaların metadata bilgilerini karşımıza getirmektedir.

LEcmd aracı kullanarak analiz işlemi gerçekleştirilebilir; LEcmd.exe yazıp enterlıyoruz. Karşımıza tool hakkında bilgiler çıkıyor.

 

Daha sonra

LECmd.exe -d “ “E:BelgelerDesktopLNKCUsersMAAppDataRoamingMicrosoftWindowsRecent”  –csv . 

Komutunu yazıyoruz.

-d: LNK dosyalarının olduğu dizin

–csv: çıktının dosya formatı

Parse işlemi tamamlandıktan sonra karşımıza csv dosyası sunmaktadır.

 

 

 

Kaynak:

[1] https://www.magnetforensics.com/blog/forensic-analysis-of-lnk-files/