De fleste computerbrugere vil vide, at bestemte placeringer på din computer kan gemme oplysninger om, hvad du har gjort. Webbrowserhistorie er et område, som alle kender kan gemme computer- og personlige data. I Windows er der andre mindre kendte steder, der kan registrere oplysninger, som du ikke nødvendigvis ville forvente. Nogle bruges, når man søger efter retsmedicinske data og bestemmer historikken for visse filer. Et af disse områder er den ydmyge Windows .LNK genvejsfil.
På baggrund af det er en simpel genvej en lille fil, der peger på en anden fil, såsom en eksekverbar for at starte et program fra dit skrivebord. Nogle detaljer om genvejen kan fås ved at højreklikke på den og klikke på Egenskaber. Fanen Genvej viser ting som hvor målfilen er placeret, mens fanen Detaljer viser datoen, da genvejen blev oprettet. Men der er meget mere til en standardgenvej, end du måske tror.
Faktisk indeholder alle .LNK-genvejsfiler store mængder data, der identificerer computeren, som de blev oprettet på, samt den computer, de i øjeblikket er på. For eksempel gemmes netværkskortets MAC-adresse og navn på den originale computer inde i fildataene sammen med alle brugte netværksstier. Selv etiketten, typen og serienummeret på det drev, det blev oprettet på, kan ses. Der er også meget mere data om tidspunkter og datoer, der kan findes.
Hvis du vil se på hvilke data, der gemmes i dine genveje, har du brug for et tredjepartsværktøj til at afkode disse oplysninger, da noget i retning af en hex-editor bare viser hovedsageligt gibberish. Her er 5 gratis værktøjer, du kan prøve. 1. Lnkanalyser
Med hensyn til brugervenlighed er Lnkanalyser omtrent så enkel som det bliver for et kommandolinjeværktøj. Mængden af information, den viser ud over fanen Detaljer i File Explorer er ganske rimelig, selvom nogle andre værktøjer, der er anført her, kan vise mere. Det eneste argument, der er nødvendigt, er at angive stien og filnavnet på .LNK-filen.
lnkanalyser -i [path \] genvej.lnk
Normal information om stier og datoer / tidspunkter for genvejen og den fil, den refererer til, vises. Derudover kan du se normalt skjulte detaljer såsom originale tidsstempler, navn, serienummer og type drev, som genvejen blev oprettet på, navnet på den computer, den blev oprettet på, netværkssti / navn og også MAC-adressen på netværkskort på den originale computer.
Download lnkanalyser
2. Windows File Analyzer
Som navnet antyder er Windows File Analyzer et dedikeret værktøj til at indsamle alle mulige oplysninger om specifikke filer på din computer. Det inkluderer miniaturebilleder, Windows Prefetch-filer, Index.DAT-filer, papirkurvfiler og lnk-genveje. Programmet er flere faner, så du kan have flere analyseprocesser åbne på én gang. Det er også en bærbar, selvstændig eksekverbar.
Klik på den grøn / gule knap eller indstillingen i menuen Filer for at analysere nogle genveje, gennemse efter mappen og en liste over alle .LNK-genveje vises. Vinduet giver standardoplysninger som oprettede, skrevne og tilgængelige datoer sammen med de mere avancerede data som harddisknavn og seriel, computernavn og netværkskort MAC-adresse. Dobbeltklik for at få de samme oplysninger i en boks. Klikke for at udvide posten kan også give oprettelsesdatoer for alle mapper i stien til filen. Rapporter kan udskrives, men ikke gemmes direkte i en fil.
Download Windows File Analyzer
3. LECmd
Selvom LECmd er et kommandolinjeværktøj, kræver det .NET Framework 4.6 for at fungere, så alle andre end Windows 10-brugere skal have installeret det. Værktøjet har ikke for mange argumenter, og du kan se, hvad der er tilgængeligt ved blot at skrive lecmd.exe i Kommandoprompt. For at hente data for en enkelt .LNK-fil skal du bruge -f eller -d til at behandle et bibliotek med filer.
lecmd -f [path \] genvej.lnk
lecmd -d sti
LECmd har muligheden for at udsende informationerne direkte til en CSV-, XML-, HTML- eller JSON-fil. Angiv en eller flere af argumenterne - [html / csv / xml / json] og målmappen for at gemme hver fil. Tilføj -q til en stor mappe fuld af genveje for at springe output til konsollen og reducere behandlingstiden.
lecmd -d [sti] --html C: \ html --xml C: \ xml --csv C: \ csv -q
Outputet er detaljeret og viser nogle ret avancerede oplysninger såsom sti og fil, der er adgang til og oprettede datoer, ikonindeks og vindueoplysninger, harddisktype / seriel / etiket, netværksdelingsinformation, maskine-ID, MAC-adresse og netværksadapterudbyder.
Download LECmd
4. Link Parser
Link Parser er af kriminalteknisk og sikkerhedsfirma 4Discovery. Det er et enkelt og helt bærbart værktøj til at læse en betydelig mængde information fra en lnk-genvejsfil. Alle de indsamlede oplysninger kan gemmes i CSV-filen til fremtidig brug. Et problem, vi stød på under brug af Link Parser, var at åbningen af filen ikke så ud til at fungere, så åbning af en mappe skal bruges i stedet.
Når du har åbnet en mappe, der indeholder nogle .LNK-genvejsfiler, får du en hel del information at læse. Alle de nuværende og originale filoprettelsesdatoer og -tider er tilgængelige sammen med nyttige data som original drevtype, drevnavn, drevs serienummer, netværksnavn, relativ sti og computernavn. Interessant nok viser Link Parser den aktuelle VolumeID, ObjectID og MAC-adresse og også disse værdier, da filen blev oprettet. Bemærk, at du bliver nødt til at lukke og åbne programmet igen for at rydde dataene fra vinduet.
Download Link Parser
5. LNK Parser
LNK Parser er et andet kommandolinjeværktøj, men det kan også bruges uden manuelt at skrive kommandoer. For at gøre dette dobbeltklik på LNK Parser-eksekverbar, skal du slippe en .LNK-genvej eller -mappe ned i vinduet. Generer eventuelt en rapport (angiv stien, hvis du valgte at generere en rapport), besvar et par enkle spørgsmål og tryk på Y eller N, hvis du vil have udgangen sendt til konsolvinduet. Du får også de samme trin ved at skrive lnk_parser_cmd direkte i Kommandoprompten uden argumenter.
Kommandolinjemulighederne er grundlæggende de samme manuelle argumenter for guiden trin.
lnk_parser_cmd -o [gem rapportsti] -w (html-rapport) -c (csv-rapport) sti [\ genvej.lnk]
Mængden af information ligner andre værktøjer her, og du får de mere basale data såvel som de skjulte data. Dette inkluderer kildedrevdetaljer, NetBIOS-navn, MAC-adresse, mappestadsattributter med oprettede og åbne datoer / tider og alle mappe-ID-data.
Download LNK Parser
6. LNK File Previewer
LNK File Previewer er en freeware-version af værktøjet hentet fra den kommercielle Simple Carver Suite forensiske software. Programmet er lidt gammelt nu, der stammer fra 2008, men ser ud til at fungere fint. Et mindre problem er, at alle filer i en mappe vises i brugergrænsefladen, og hvis de ikke er. LNK-genveje vises bare som en ugyldig fil. LNK File Previewer er bærbar, men kommer i et RAR-arkiv, så du har brug for noget som 7-Zip eller WinRAR for at pakke det ud.
For at læse dataene for alle genveje i en mappe skal du gå til Proces> Mappe og finde målplaceringen. Før dette kan du eventuelt fjerne markeringen af Recurse Sub-Folders i bunden af vinduet for ikke at gå ned i lag på udkig efter filer. Mængden af viste data er ikke så meget som nogle værktøjer, men du får stadig nyttige detaljer som MAC-adresse, computernavn, netværkssti, harddisktype, seriel og navn og et par nyttige datoer. Klik på en post viser de grundlæggende detaljer nedenfor. Alle oplysninger om alle behandlede filer kan eksporteres til CSV-fil.
Download LNK File Previewer
Tip: Hvis et af kommandolinjeværktøjerne giver dig bedre information, men du ikke rigtig kan lide at bruge Kommandoprompten hver gang til at bruge det, er der en enkel løsning. Opret en lille batchfil og slip genvejen på .BAT-filikonet. Som en tilføjet mulighed åbnes resultaterne automatisk i Notepad. For eksempel ved hjælp af Lnkanalyser kan du oprette noget lignende:
@echo slukket
lnkanalyser -i% ~ 1>% temp% \ lnkfile.txt
Notepad% temp% \ lnkfile.txt
Gem filen som batchnavn.BAT og slip en genvej på den. Resultaterne udsendes til lnkfile.txt i TEMP-mappen, og derefter åbner Notepad tekstfilen. Du kan selvfølgelig sende resultaterne til en CSV- eller HTML-fil i programmet i stedet for at åbne Notepad. Simpelt men effektivt.
