Windows Lnk Dosyalarının Adli Analizi

PwnLab.Me

Admin
Katılım
21 Ocak 2024
Mesajlar
203
Tepkime puanı
10
Puanları
18
Zelal Yavuz tarafından yazılmıştır.

[TR] Windows Lnk Dosyalarının Adli İncelenmesi​


Lnk dosyası Windows tarafından orijinal bir dosyaya referans olarak oluşan kısa yollardır. Dosyalar kullanıcı tarafından silinse veya wipe edilse bile, dosyalara ulaşılmasa dahi silinen dosyalar hakkında kısa yol bilgilerine, zaman damgalarına erişilebilir. Bu sebeple .lnk dosyaları Adli Bilişim açısından çok önemlidir. Lnk uzantılı link dosyalarının tutulduğu dosya konumu işletim sistemine göre değişiklik gösterir.

Windows işletim sisteminde nerede tutulur ?​


Windows Dosya Yolları:

Windows Xp: C:\Documents an Settings\<username>\Recent\

Windows 7: C:\Users\<Users>\AppData\Roaming\Microsoft\Windows\Recent\

Windows 10: C:\Users\<Users>\AppData\Roaming\Microsoft\Windows\Recent\

Lnk Dosyasında Neler Bulunur ?​


Lnk dosyasının dizin tam yolu,

Dosyanın zaman damgaları(oluşturulma, değiştirilme ve erişilme tarihleri)

Dosya sisteminin NETBIOS ismi ve MAC adresi

Dosya volume seri numarası

Dosya uzaktan erişilmişse network paylaşım adı

Dosyanın write-read özellikleri

Lnk Dosyalarını Parse Edecek Araçlar Nelerdir ?​


1) Windows File Analyzer

2) Windows LNK Parsing Utility

3) Link Parser

Link Parser​

  • Seçili dosyaları bir klasör veya monte edilmiş adli imajı ayrıştırmak için kullanılır.
  • Tek dosya veya çoklu seçim ile birden fazla dosya seçilebilir.
  • Kolay analiz için CSV’yi dışa aktarma
  • GUI, Tarih/Saat sıralaması
  • 30’dan fazla özellik çıkarır.

Kullanılan işletim sistemi sürümüne bağlı olarak, kullanıcının sadece gerekli klasörü seçmesi ve ardından CSV raporunu oluşturacak olan dosyaları araca aktarması gerekecektir.

Link parser kullanım adımları

Adım 1: Dosya yoluna gidip lnk dosyalarını farklı bir klasöre alıp masaüstüne alalım. Ben imaj dosyasının lnk dosyarını inceleyeceğim için imaj dosyasını ftk imager ile açıp export ettim.

1*fZBe0ybZr3_jWE2S8_7a3w.jpeg


Adım 2: Export ettiğiniz yada klasöre aldığınız lnk dosyalarını Link parser aracı ile açalım.

1*AXjIyBnB0BafGBuz8-9wFA.jpeg


Adım 3: Link parser aracı ile dosyaları içe aktardıktan sonra lnk dosyarını inceleyebiliriz.

1*lJ9krLN1BhIFOrfOCvt0Pg.png


FileModifiedDate: En son dosya değiştirilme tarihi

FileAccsessDate: En son erişim tarihi

FileLinkFileName: Dosya Adı

FileLinkFilePath: Dosya yolu

FileMD5: Dosyanın md5 hash değeri

LinkModifiedDate: Dosya yolu değiştirilme tarihi

LinkAccsessDate: Bağlantı Erişim Tarihi

LinkCreationDate: Bağlantı Oluşturma Tarihi

FileSize: Dosya boyutu

1*RtW1IgOjRtNnsIWl3TdQkA.png


VolumeSerialNumber: Cilt Seri Numarası

VolumeLabel: Birim adı

LocalBasePath: Temel Yol

DriveType: Sürücünün türü

LinkedPath: Açılan dosyaların yolları

NetworkProviderType: Ağ sağlayıcı türü

NetName: Ağ adı

DeviceName: Cihaz Adı

Relative Path: Göreceli dosya yolu

1*ULmfzW5ESt9Js4QyHcAqAA.png


WorkingDirectory: Nerede çalıştığının bilgisi

NetBİOS: Lan ağlarında haberleşen uygulama veya bilgisiyar adı.

VolumID_Current: Şuan ki Disk kimlik numarası

ObjectID_Current: Şuan ki nesne kimlik numarası

MAC_Addr_Current: Bilgisayar mac adresleri

Windows File Analyzer​

  • Windows XP Thumbnail Veritabanı Çözümleyicisi
    Bu çözümleyici, Thumbs.db dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler.
  • ACDSee Thumbnail Veritabanı Çözümleyicisi
    Bu çözümleyici ACDSee *.fpt dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler.
  • Google Picasa Thumbnail Veritabanı Çözümleyicisi
    Bu çözümleyici, Picasa *.db dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler.
  • FastStone Viewer Thumbnail Veritabanı Çözümleyicisi
    Bu çözümleyici fsviewer.db dosyasını okur ve içeriğini görüntü önizlemesini içeren depolanmış verilerle birlikte görüntüler.
  • HP Digital Imaging Thumbnail Database Analyzer
    Bu çözümleyici *.db veya *.dat dosyasını okur ve içeriğini görüntü önizlemesini içeren saklanan verilerle birlikte görüntüler.
  • Prefetch Analyzer
    Genellikle Prefetch klasöründe saklanan dosyaları okur ve saklanan bilgileri kazar.
  • Kısayol Çözümleyicisi(.lnk)
    Bu araç, belirtilen klasördeki tüm kısayol dosyalarını okur ve bunlarda depolanan verileri görüntüler ve raporlar.
  • Index.DAT Analyzer
    Bu analiz cihazı belirtilen Index.Dat dosyasını okur ve içeriğini görüntüler. Index.Dat dosyaları genellikle Internet Explorer tanımlama bilgilerinin, geçici dosyaların veya geçmişin verilerini depolar.
  • Geri Dönüşüm Kutusu Çözümleyicisi
    Bu çözümleyici, WinXP geri dönüşüm kutusu içerik bilgilerini içeren Info2 dosyalarını veya Vista ve üzeri geri dönüşüm kutusu bilgilerini içeren $I dosyalarını çözer ve görüntüler.
Windows File Analyzer Kullanım Adımları

Adım1: Aracı açıp lnk dosyalarımızın içinde bulunduğu klasörü seçelim.

1*hvuXjKF2T9GXTW8n_pvbWQ.png


Adım2: Dosyalarımız geldikten sonra analiz edebiliriz.

1*jAHd3Oqc9XykWSuqAFHhxg.png


Adım3: Rapor haline getirmek istiyorsak report butonuna basmanız yeterli.

1*mD1kUWf5LHPyfEThJXaspA.png

1*1WMQgAW1bRAHIYcnzMpT4g.png
 
Moderatör tarafında düzenlendi:
Geri
Üst