Zelal Yavuz tarafından yazılmıştır.
Lnk dosyası Windows tarafından orijinal bir dosyaya referans olarak oluşan kısa yollardır. Dosyalar kullanıcı tarafından silinse veya wipe edilse bile, dosyalara ulaşılmasa dahi silinen dosyalar hakkında kısa yol bilgilerine, zaman damgalarına erişilebilir. Bu sebeple .lnk dosyaları Adli Bilişim açısından çok önemlidir. Lnk uzantılı link dosyalarının tutulduğu dosya konumu işletim sistemine göre değişiklik gösterir.
Windows Dosya Yolları:
Windows Xp: C:\Documents an Settings\<username>\Recent\
Windows 7: C:\Users\<Users>\AppData\Roaming\Microsoft\Windows\Recent\
Windows 10: C:\Users\<Users>\AppData\Roaming\Microsoft\Windows\Recent\
Lnk dosyasının dizin tam yolu,
Dosyanın zaman damgaları(oluşturulma, değiştirilme ve erişilme tarihleri)
Dosya sisteminin NETBIOS ismi ve MAC adresi
Dosya volume seri numarası
Dosya uzaktan erişilmişse network paylaşım adı
Dosyanın write-read özellikleri
1) Windows File Analyzer
2) Windows LNK Parsing Utility
3) Link Parser
Kullanılan işletim sistemi sürümüne bağlı olarak, kullanıcının sadece gerekli klasörü seçmesi ve ardından CSV raporunu oluşturacak olan dosyaları araca aktarması gerekecektir.
Adım 1: Dosya yoluna gidip lnk dosyalarını farklı bir klasöre alıp masaüstüne alalım. Ben imaj dosyasının lnk dosyarını inceleyeceğim için imaj dosyasını ftk imager ile açıp export ettim.
Adım 2: Export ettiğiniz yada klasöre aldığınız lnk dosyalarını Link parser aracı ile açalım.
Adım 3: Link parser aracı ile dosyaları içe aktardıktan sonra lnk dosyarını inceleyebiliriz.
FileModifiedDate: En son dosya değiştirilme tarihi
FileAccsessDate: En son erişim tarihi
FileLinkFileName: Dosya Adı
FileLinkFilePath: Dosya yolu
FileMD5: Dosyanın md5 hash değeri
LinkModifiedDate: Dosya yolu değiştirilme tarihi
LinkAccsessDate: Bağlantı Erişim Tarihi
LinkCreationDate: Bağlantı Oluşturma Tarihi
FileSize: Dosya boyutu
VolumeSerialNumber: Cilt Seri Numarası
VolumeLabel: Birim adı
LocalBasePath: Temel Yol
DriveType: Sürücünün türü
LinkedPath: Açılan dosyaların yolları
NetworkProviderType: Ağ sağlayıcı türü
NetName: Ağ adı
DeviceName: Cihaz Adı
Relative Path: Göreceli dosya yolu
WorkingDirectory: Nerede çalıştığının bilgisi
NetBİOS: Lan ağlarında haberleşen uygulama veya bilgisiyar adı.
VolumID_Current: Şuan ki Disk kimlik numarası
ObjectID_Current: Şuan ki nesne kimlik numarası
MAC_Addr_Current: Bilgisayar mac adresleri
Adım1: Aracı açıp lnk dosyalarımızın içinde bulunduğu klasörü seçelim.
Adım2: Dosyalarımız geldikten sonra analiz edebiliriz.
Adım3: Rapor haline getirmek istiyorsak report butonuna basmanız yeterli.
[TR] Windows Lnk Dosyalarının Adli İncelenmesi
Lnk dosyası Windows tarafından orijinal bir dosyaya referans olarak oluşan kısa yollardır. Dosyalar kullanıcı tarafından silinse veya wipe edilse bile, dosyalara ulaşılmasa dahi silinen dosyalar hakkında kısa yol bilgilerine, zaman damgalarına erişilebilir. Bu sebeple .lnk dosyaları Adli Bilişim açısından çok önemlidir. Lnk uzantılı link dosyalarının tutulduğu dosya konumu işletim sistemine göre değişiklik gösterir.
Windows işletim sisteminde nerede tutulur ?
Windows Dosya Yolları:
Windows Xp: C:\Documents an Settings\<username>\Recent\
Windows 7: C:\Users\<Users>\AppData\Roaming\Microsoft\Windows\Recent\
Windows 10: C:\Users\<Users>\AppData\Roaming\Microsoft\Windows\Recent\
Lnk Dosyasında Neler Bulunur ?
Lnk dosyasının dizin tam yolu,
Dosyanın zaman damgaları(oluşturulma, değiştirilme ve erişilme tarihleri)
Dosya sisteminin NETBIOS ismi ve MAC adresi
Dosya volume seri numarası
Dosya uzaktan erişilmişse network paylaşım adı
Dosyanın write-read özellikleri
Lnk Dosyalarını Parse Edecek Araçlar Nelerdir ?
1) Windows File Analyzer
2) Windows LNK Parsing Utility
3) Link Parser
Link Parser
Özellikleri:
- Seçili dosyaları bir klasör veya monte edilmiş adli imajı ayrıştırmak için kullanılır.
- Tek dosya veya çoklu seçim ile birden fazla dosya seçilebilir.
- Kolay analiz için CSV’yi dışa aktarma
- GUI, Tarih/Saat sıralaması
- 30’dan fazla özellik çıkarır.
Kullanılan işletim sistemi sürümüne bağlı olarak, kullanıcının sadece gerekli klasörü seçmesi ve ardından CSV raporunu oluşturacak olan dosyaları araca aktarması gerekecektir.
Link parser kullanım adımları
Adım 1: Dosya yoluna gidip lnk dosyalarını farklı bir klasöre alıp masaüstüne alalım. Ben imaj dosyasının lnk dosyarını inceleyeceğim için imaj dosyasını ftk imager ile açıp export ettim.
Adım 2: Export ettiğiniz yada klasöre aldığınız lnk dosyalarını Link parser aracı ile açalım.
Adım 3: Link parser aracı ile dosyaları içe aktardıktan sonra lnk dosyarını inceleyebiliriz.
FileModifiedDate: En son dosya değiştirilme tarihi
FileAccsessDate: En son erişim tarihi
FileLinkFileName: Dosya Adı
FileLinkFilePath: Dosya yolu
FileMD5: Dosyanın md5 hash değeri
LinkModifiedDate: Dosya yolu değiştirilme tarihi
LinkAccsessDate: Bağlantı Erişim Tarihi
LinkCreationDate: Bağlantı Oluşturma Tarihi
FileSize: Dosya boyutu
VolumeSerialNumber: Cilt Seri Numarası
VolumeLabel: Birim adı
LocalBasePath: Temel Yol
DriveType: Sürücünün türü
LinkedPath: Açılan dosyaların yolları
NetworkProviderType: Ağ sağlayıcı türü
NetName: Ağ adı
DeviceName: Cihaz Adı
Relative Path: Göreceli dosya yolu
WorkingDirectory: Nerede çalıştığının bilgisi
NetBİOS: Lan ağlarında haberleşen uygulama veya bilgisiyar adı.
VolumID_Current: Şuan ki Disk kimlik numarası
ObjectID_Current: Şuan ki nesne kimlik numarası
MAC_Addr_Current: Bilgisayar mac adresleri
Windows File Analyzer
Özellikleri:
- Windows XP Thumbnail Veritabanı Çözümleyicisi
Bu çözümleyici, Thumbs.db dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler. - ACDSee Thumbnail Veritabanı Çözümleyicisi
Bu çözümleyici ACDSee *.fpt dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler. - Google Picasa Thumbnail Veritabanı Çözümleyicisi
Bu çözümleyici, Picasa *.db dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler. - FastStone Viewer Thumbnail Veritabanı Çözümleyicisi
Bu çözümleyici fsviewer.db dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler. - HP Digital Imaging Thumbnail Database Analyzer
Bu çözümleyici *.db veya *.dat dosyasını okur ve içeriğini görüntü önizlemesini içeren saklanan verilerle birlikte görüntüler. - Prefetch Analyzer
Genellikle Prefetch klasöründe saklanan dosyaları okur ve saklanan bilgileri kazar. - Kısayol Çözümleyicisi(.lnk)
Bu araç, belirtilen klasördeki tüm kısayol dosyalarını okur ve bunlarda depolanan verileri görüntüler ve raporlar. - Index.DAT Analyzer
Bu analiz cihazı belirtilen Index.Dat dosyasını okur ve içeriğini görüntüler. Index.Dat dosyaları genellikle Internet Explorer tanımlama bilgilerinin, geçici dosyaların veya geçmişin verilerini depolar. - Geri Dönüşüm Kutusu Çözümleyicisi
Bu çözümleyici, WinXP geri dönüşüm kutusu içerik bilgilerini içeren Info2 dosyalarını veya Vista ve üzeri geri dönüşüm kutusu bilgilerini içeren $I dosyalarını çözer ve görüntüler.
Windows File Analyzer Kullanım Adımları
Adım1: Aracı açıp lnk dosyalarımızın içinde bulunduğu klasörü seçelim.
Adım2: Dosyalarımız geldikten sonra analiz edebiliriz.
Adım3: Rapor haline getirmek istiyorsak report butonuna basmanız yeterli.
Moderatör tarafında düzenlendi: