【主机取证】LNK文件和跳转文件

admin 2022年5月30日01:10:18取证分析评论14 views2916字阅读9分43秒阅读模式

取证需求

用户行为时间线的建立

> 一个文件下载后,是否被打开查看过?是否被编辑过?

> 某天晚上10点都打开过哪些文件,文件保存在什么位置?

通过查看LNK文件及跳转列表信息,有助于建立事件时间线

基本原理

LNK文件的定义

> LNK文件是用于指向其他文件的一种文件

> 这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速调用

LNK文件的基本特性

> 文件被创建、打开或另存后,有可能会生成一个LNK快捷方式

> 每一个LNK文件都有自己的创建、修改和访问(MAC)时间

> LNK文件内部,也有可能记录它所指向目标文件的MAC时间

注:这里的MAC分别是指:Modify修改、Access访问、Create创建

Jumplist

> 跳转列表文件,包含有最近打开的文件位置、名称和时间

> 跳转列表是 Windows 7 引入并包含在 后续版本Windows中的一项新的独特任务栏功能

> 跳转列表由某些用户行为所创建,例如使用 Microsoft Word 保存文件或使用 Firefox 访问网站,它会自动另存为 * .automaticDestination-ms 或 *.customDestination 文件

> 此功能使用户可以快速轻松地访问最近打开的应用程序文件

LNK文件及Jumplist的存储位置

【主机取证】LNK文件和跳转文件

从应用的快捷菜单中查看最近访问的文件

【主机取证】LNK文件和跳转文件

LNK文件的实践

以下实践内容摘录自郭永健老师编著的教材《电子数据取证分析实战:基础级》。该书中有更多精彩内容,欢迎进一步关注学习

实践一:文件被打开,生成LNK文件

> LNK文件的创建时间不变

-- 当一个文件被打开,并生成了LNK文件时,LNK文件的创建时间是这个文件的第一次访问时间,且LNK文件的创建时间不会被改变

-- 如果这个文件之后被再次打开过,LNK文件的创建时间依然不变

二:存储在另一位置的同名文件被打开

> LNK文件的创建时间不变,但LNK文件内部数据将被新的信息覆盖

-- 当一个文件被打开,并生成了LNK文件后,如果有存储在另外一个位置的同名文件被打开,原始的LNK文件名和创建时间不变,但是LNK文件内部数据将被新的信息覆盖

-- 因为,新的LNK文件占用了MFT中的相同位置

三:LNK文件中存储的创建、访问、修改时间

> 在LNK文件的0x1C位置,每个时间都是8位,顺序是创建、访问、修改

-- 当一个文件被打开,该文件的创建、访问和修改时间被读取,并保存在LNK文件的0x1C位置

-- 每个时间都是8位。保存顺序是创建、访问、修改

四:LNK文件的修改时间

> 表示对应的目标文件被最后打开的时间,而不是文件被关闭的时间

-- LNK文件的修改时间,表示对应的目标文件被最后打开的时间,而不是文件被关闭的时间

-- 如果LNK文件的创建、修改和访问时间都一样,表示LNK对应的目标文件没有再次被打开

-- 在Vista之后,当一个文件被修改后,访问时间总是被更新的。因此,修改和访问时间一致

-- 在XP下,访问时间和修改时间可能不一样(访问时间有可能被禁用,注册表NtfsDisableLastAccessUpdate,设置为1。因此,从取证角度来说,访问时间一般没有太多意义,因为访问时间不一定因为用户的操作而改变

······ 1)NTFS文件系统通常会在文件最后访问后,延迟一小时更新访问时间

······ 2)访问时间可能被禁止更新。而禁止访问时间更新,并不表示一个文件的访问时间永远都不会变化了。它的含义是:当对应目录或文件打开时,不更新访问时间。但是,如果一个文件在卷与卷之间移动,或一个文件被修改过,访问时间还是会改变的

五:程序直接创建并保存了一个文件,由此生成了LNK文件

> 这个LNK文件不会保存对应目标文件的任何时间信息

-- 如果程序直接创建并保存了一个文件,由此生成了LNK文件。那么这个LNK文件不会保存对应目标文件的任何时间信息

-- 同样的,如果浏览器访问了一个图片,并选择右键,图片保存为…,也是上述的结果

-- 上述结论是正常情况下的结果,如果一个新保存的文件命名覆盖了一个同名的文件。LNK文件会将被覆盖文件的创建、访问、修改时间保存起来

-- 而一个新保存的图片的LNK文件中是不应该有嵌入时间的。只有这个图片被后续打开了,LNK文件才会嵌入这个图片的创建、访问、修改时间

-- 针对Office 200320072010等。当Office创建了一个文件并保存,在用户的Recent目录和Office的Recent目录下各有一个LNK文件。Office  Recent目录下的LNK文件总会有嵌入的时间属性。而用户Recent目录下的LNK文件没有时间属性

网络资源

Jump List Forensics

-- 尚普兰学院的"Chris Antonovich"在2014年4月28日给出了一篇文章"Jump List Forensics",可以长按以下二维码,识别之后进一步了解

【主机取证】LNK文件和跳转文件

-- Antonovich C. Jump List Forensics[J]. Patrick Leahy Center for Digital Investigation (LCDI), Champlain College Miller Center, Burlington, USA, 2014.

> 开源项目JumpList

-- "EricZimmerman"在Github上给出了一个开源项目"JumpList",该项目给出了跳转列表给出了一个解析器。可以长按以下二维码,识别之后进一步了解

【主机取证】LNK文件和跳转文件

> 其他可供阅读的文献

-- 罗文华.基于Windows7环境下的跳转列表解析用户操作行为[J].警察技术,2014(03):76-78

-- Smith G S. Using jump lists to identify fraudulent documents[J]. Digital Investigation, 2013, 9(3-4): 193-199

-- Singh B, Singh U. A forensic insight into windows 10 jump lists[J]. Digital Investigation, 2016, 17: 1-13

-- Weng S K, Tu J Y. A Visualization Jump Lists tool for Digital Forensics of Windows[J]. KSII Transactions on Internet and Information Systems (TIIS), 2020, 14(1): 221-239

-- Singh B, Singh U, Sharma P, et al. Recovery of forensic artifacts from deleted jump lists[C]//IFIP International Conference on Digital Forensics. Springer, Cham, 2018: 51-65

补记

本文参考了部分网络资源,特别地:

重点参考了郭永健编著的教材《电子数据取证分析实战:基础级》

在此,一并致谢!

【主机取证】LNK文件和跳转文件

历史回顾(链接):

    > 话题:基本概念

    > 话题:取证基础

    > 话题:法律规制

    > 话题:取证技术

    > 话题:原则流程

    > 话题:主机取证

    > 话题:行业资讯



来源:数字取证文摘

【主机取证】LNK文件和跳转文件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月30日01:10:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【主机取证】LNK文件和跳转文件 http://cn-sec.com/archives/550037.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: