De fleste databrukere vil vite at bestemte steder på datamaskinen din kan lagre informasjon om hva du har gjort. Nettleserhistorikk er et område som alle vet kan lagre data og personlige data. I Windows er det andre mindre kjente steder som kan registrere informasjon du ikke nødvendigvis ville forvente. Noen brukes når du leter etter rettsmedisinske data og bestemmer historikken til visse filer. Et av disse områdene er den ydmyke Windows .LNK-snarveifilen.
På den måten er en enkel snarvei en liten fil som peker til en annen fil, for eksempel en kjørbar for å starte et program fra skrivebordet ditt. Noen detaljer om snarveien kan du få ved å høyreklikke på den og klikke Egenskaper. Snarveien-fanen viser ting som hvor målfilen befinner seg mens kategorien Detaljer viser datoen da snarveien ble opprettet. Men det er mye mer til en standard snarvei enn du kanskje tror.
Faktisk inneholder alle .LNK-snarveifiler store mengder data som identifiserer datamaskinen de ble opprettet på, samt datamaskinen de for tiden er på. For eksempel, i fildataene, er nettverkskortets MAC-adresse og navn på den opprinnelige datamaskinen lagret sammen med alle brukte nettverksstier. Selv etiketten, typen og serienummeret til stasjonen den ble opprettet på er synlig. Det er også mye mer data om tider og datoer som er å finne.
Hvis du vil se på hvilke data som blir lagret i snarveiene, trenger du et tredjepartsverktøy for å avkode denne informasjonen som noe som en hex-redigeringsprogram bare vil vise mest siv. Her er 5 gratis verktøy du kan prøve. 1. Lnkanalyser
Når det gjelder brukervennlighet er Lnkanalyser omtrent så enkelt som det blir for et kommandolinjeværktøy. Mengden informasjon den viser utover Detaljer-fanen i File Explorer er ganske rimelig, selv om noen andre verktøy som er oppført her kan vise mer. Det eneste argumentet som trengs er å oppgi banen og filnavnet til .LNK-filen.
lnkanalyser -i [path \] shortcut.lnk
Normal informasjon for stier og datoer / klokkeslett for snarveien og filen den refererer til vises. I tillegg kan du vise normalt skjulte detaljer som originale tidsstempler, navn, serienummer og type stasjon snarveien ble opprettet på, navnet på datamaskinen den ble opprettet på, nettverkssti / navn og også MAC-adressen til nettverkskort på den originale datamaskinen.
Last ned lnkanalyser
2. Windows File Analyzer
Som navnet antyder er Windows File Analyzer et dedikert verktøy for å samle all slags informasjon om spesifikke filer på datamaskinen din. Det inkluderer miniatyrbilder, forhåndshentningsfiler for Windows, Index.DAT-filer, papirkurvfiler og lnk-snarveier. Programmet er flerfanen, slik at du kan ha flere analyseprosesser åpne samtidig. Det er også en bærbar frittstående kjørbar.
Klikk på den grønne / gule knappen eller alternativet i Fil-menyen for å analysere noen snarveier, bla gjennom mappen og en liste over alle .LNK-snarveier vises. Vinduet gir standarddetaljer som opprettede, skrevne og tilgjengelige datoer sammen med mer avanserte data som harddisknavn og seriell, datamaskinnavn og nettverkskort MAC-adresse. Dobbeltklikk for å få den samme informasjonen i en boks. Ved å klikke for å utvide oppføringen kan det også bli opprettelsesdatoer for alle mapper i banen til filen. Rapporter kan skrives ut, men ikke lagres direkte i en fil.
Last ned Windows File Analyzer
3. LECmd
Selv om LECmd er et kommandolinjeverktøy, krever det. NET Framework 4.6 for å fungere, så alle andre enn Windows 10-brukere må ha installert det. Verktøyet har ikke for mange argumenter, og du kan se hva som er tilgjengelig ved å skrive lecmd.exe i Kommandoprompt. For å få data for en enkelt .LNK-fil, bruk -f eller -d for å behandle en katalog med filer.
lecmd -f [path \] snarvei.lnk
lecmd -d bane
LECmd har muligheten til å sende ut informasjonen direkte til en CSV-, XML-, HTML- eller JSON-fil. Oppgi ett eller flere av argumentene - [html / csv / xml / json] og målkatalogen for å lagre hver fil. Legg til -q for en stor mappe full av snarveier for å hoppe over å sende ut til konsollen og redusere behandlingstiden.
lecmd -d [bane] --html C: \ html --xml C: \ xml --csv C: \ csv -q
Utdataene er detaljert og viser noe ganske avansert informasjon som sti og fil som er tilgjengelige og opprettede datoer, ikonindeks og vinduinformasjon, harddisktype / seriell / etikett, nettverksdelingsinformasjon, maskin-ID, MAC-adresse og leverandør av nettverkskort.
Last ned LECmd
4. Koble Parser
Link Parser er av kriminalteknisk og sikkerhetsfirma 4Discovery. Det er et enkelt og helt bærbart verktøy for å lese en betydelig mengde informasjon fra en lnk-snarveisfil. All samlet informasjon kan lagres i CSV-fil for fremtidig bruk. Et problem vi oppsto under bruk av Link Parser, var at alternativet for filåpning ikke virket, så det å åpne en mappe må brukes i stedet.
Etter å ha åpnet en mappe som inneholder noen .LNK-snarveifiler, får du ganske mye informasjon å lese. Alle nåværende og opprinnelige datoene og tidspunktene for opprettelse av filer er tilgjengelige sammen med nyttige data som original stasjonstype, stasjonsnavn, stasjons serienummer, nettverksnavn, relativ bane og datamaskinnavn. Interessant nok viser Link Parser gjeldende VolumeID, ObjectID og MAC-adresse og også disse verdiene da filen ble opprettet. Merk at du må lukke og åpne programmet for å tømme dataene fra vinduet.
Last ned Link Parser
5. LNK Parser
LNK Parser er et annet kommandolinjeverktøy, men det kan også brukes uten å skrive inn kommandoer manuelt. For å gjøre det dobbeltklikk på den kjørbare LNK-parseren, slipper du en .LNK-snarvei eller -mappe inn i vinduet. Alternativt kan du generere en rapport (angi banen hvis du valgte å generere en rapport), svare på et par enkle spørsmål og trykk Y eller N hvis du vil at utdataene skal sendes til konsollvinduet. Du vil også få de samme trinnene ved å skrive lnk_parser_cmd direkte i Command Prompt uten argumenter.
Kommandolinjealternativene er i utgangspunktet de samme manuelle argumentene for veivisertrinnene.
lnk_parser_cmd -o [lagre rapportsti] -w (html rapport) -c (csv rapport) bane [\ shortcut.lnk]
Mengden informasjon ligner på andre verktøy her, og du får mer grunnleggende data så vel som skjulte data. Dette inkluderer informasjon om kildestasjonen, NetBIOS-navn, MAC-adresse, mappebaneattributter med opprettede og tilgjengelige datoer / klokkeslett og alle mappe-ID-data.
Last ned LNK Parser
6. LNK File Previewer
LNK File Previewer er en freeware-versjon av verktøyet hentet fra den kommersielle forensiske programvaren Simple Carver Suite. Programmet er litt gammelt nå fra 2008, men ser ut til å fungere bra. Et mindre problem er at alle filene i en mappe vises i brukergrensesnittet, og hvis de ikke er. LNK-snarveier vil bare vises som en ugyldig fil. LNK File Previewer er bærbar, men kommer i et RAR-arkiv, så du trenger noe som 7-Zip eller WinRAR for å pakke det ut.
For å lese dataene for alle snarveier i en mappe, gå til Prosess> Mappe og finn målet. Før det kan du eventuelt fjerne merket av Recurse Sub-Folders nederst i vinduet for ikke å gå ned lag på jakt etter filer. Mengden data som vises er ikke så mye som noen verktøy, men du får fremdeles nyttige detaljer som MAC-adresse, datamaskinnavn, nettverkssti, harddisk-type, serie og navn, og noen få nyttige datoer. Hvis du klikker på en oppføring, vises de grunnleggende detaljene nedenfor. All informasjon for alle behandlede filer kan eksporteres til CSV-fil.
Last ned LNK File Previewer
Tips: Hvis et av kommandolinjeverktøyene gir deg bedre informasjon, men du ikke liker å bruke Kommandoprompten hver gang du bruker det, er det en enkel løsning. Lag en liten batchfil og slipp snarveien til .BAT-filikonet. Som et ekstra alternativ åpner du resultatene automatisk i Notisblokk. For eksempel ved å bruke Lnkanalyser kan du lage noe slikt:
@echo off
lnkanalyser -i% ~ 1>% temp% \ lnkfile.txt
Notisblokk% temp% \ lnkfile.txt
Lagre filen som batchname.BAT og slipp en snarvei på den. Resultatene blir sendt ut til lnkfile.txt i TEMP-mappen og deretter vil Notisblokk åpne tekstfilen. Du kan selvfølgelig sende resultatene til en CSV- eller HTML-fil i programmet i stedet for å åpne Notisblokk. Enkelt men effektivt.
