取证需求
用户行为时间线的建立
> 一个文件下载后,是否被打开查看过?是否被编辑过?
> 某天晚上10点都打开过哪些文件,文件保存在什么位置?
通过查看LNK文件及跳转列表信息,有助于建立事件时间线
基本原理
LNK文件的定义
> LNK文件是用于指向其他文件的一种文件
> 这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速调用
LNK文件的基本特性
> 文件被创建、打开或另存后,有可能会生成一个LNK快捷方式
> 每一个LNK文件都有自己的创建、修改和访问(MAC)时间
> LNK文件内部,也有可能记录它所指向目标文件的MAC时间
注:这里的MAC分别是指:Modify修改、Access访问、Create创建
Jumplist
> 跳转列表文件,包含有最近打开的文件位置、名称和时间
> 跳转列表是 Windows 7 引入并包含在 后续版本Windows中的一项新的独特任务栏功能
> 跳转列表由某些用户行为所创建,例如使用 Microsoft Word 保存文件或使用 Firefox 访问网站,它会自动另存为 * .automaticDestination-ms 或 *.customDestination 文件
> 此功能使用户可以快速轻松地访问最近打开的应用程序文件
LNK文件及Jumplist的存储位置
从应用的快捷菜单中查看最近访问的文件
LNK文件的实践
以下实践内容摘录自郭永健老师编著的教材《电子数据取证分析实战:基础级》。该书中有更多精彩内容,欢迎进一步关注学习
实践一:文件被打开,生成LNK文件
> LNK文件的创建时间不变
-- 当一个文件被打开,并生成了LNK文件时,LNK文件的创建时间是这个文件的第一次访问时间,且LNK文件的创建时间不会被改变
-- 如果这个文件之后被再次打开过,LNK文件的创建时间依然不变
实践二:存储在另一位置的同名文件被打开
> LNK文件的创建时间不变,但LNK文件内部数据将被新的信息覆盖
-- 当一个文件被打开,并生成了LNK文件后,如果有存储在另外一个位置的同名文件被打开,原始的LNK文件名和创建时间不变,但是LNK文件内部数据将被新的信息覆盖
-- 因为,新的LNK文件占用了MFT中的相同位置
实践三:LNK文件中存储的创建、访问、修改时间
> 在LNK文件的0x1C位置,每个时间都是8位,顺序是创建、访问、修改
-- 当一个文件被打开,该文件的创建、访问和修改时间被读取,并保存在LNK文件的0x1C位置
-- 每个时间都是8位。保存顺序是创建、访问、修改
实践四:LNK文件的修改时间
> 表示对应的目标文件被最后打开的时间,而不是文件被关闭的时间
-- LNK文件的修改时间,表示对应的目标文件被最后打开的时间,而不是文件被关闭的时间
-- 如果LNK文件的创建、修改和访问时间都一样,表示LNK对应的目标文件没有再次被打开
-- 在Vista之后,当一个文件被修改后,访问时间总是被更新的。因此,修改和访问时间一致
-- 在XP下,访问时间和修改时间可能不一样(访问时间有可能被禁用,注册表NtfsDisableLastAccessUpdate,设置为1。因此,从取证角度来说,访问时间一般没有太多意义,因为访问时间不一定因为用户的操作而改变
······ 1)NTFS文件系统通常会在文件最后访问后,延迟一小时更新访问时间
······ 2)访问时间可能被禁止更新。而禁止访问时间更新,并不表示一个文件的访问时间永远都不会变化了。它的含义是:当对应目录或文件打开时,不更新访问时间。但是,如果一个文件在卷与卷之间移动,或一个文件被修改过,访问时间还是会改变的
实践五:程序直接创建并保存了一个文件,由此生成了LNK文件
> 这个LNK文件不会保存对应目标文件的任何时间信息
-- 如果程序直接创建并保存了一个文件,由此生成了LNK文件。那么这个LNK文件不会保存对应目标文件的任何时间信息
-- 同样的,如果浏览器访问了一个图片,并选择右键,图片保存为…,也是上述的结果
-- 上述结论是正常情况下的结果,如果一个新保存的文件命名覆盖了一个同名的文件。LNK文件会将被覆盖文件的创建、访问、修改时间保存起来
-- 而一个新保存的图片的LNK文件中是不应该有嵌入时间的。只有这个图片被后续打开了,LNK文件才会嵌入这个图片的创建、访问、修改时间
-- 针对Office 200320072010等。当Office创建了一个文件并保存,在用户的Recent目录和Office的Recent目录下各有一个LNK文件。Office Recent目录下的LNK文件总会有嵌入的时间属性。而用户Recent目录下的LNK文件没有时间属性
网络资源
> Jump List Forensics
-- 尚普兰学院的"Chris Antonovich"在2014年4月28日给出了一篇文章"Jump List Forensics",可以长按以下二维码,识别之后进一步了解
-- Antonovich C. Jump List Forensics[J]. Patrick Leahy Center for Digital Investigation (LCDI), Champlain College Miller Center, Burlington, USA, 2014.
> 开源项目JumpList
-- "EricZimmerman"在Github上给出了一个开源项目"JumpList",该项目给出了跳转列表给出了一个解析器。可以长按以下二维码,识别之后进一步了解
> 其他可供阅读的文献
-- 罗文华.基于Windows7环境下的跳转列表解析用户操作行为[J].警察技术,2014(03):76-78
-- Smith G S. Using jump lists to identify fraudulent documents[J]. Digital Investigation, 2013, 9(3-4): 193-199
-- Singh B, Singh U. A forensic insight into windows 10 jump lists[J]. Digital Investigation, 2016, 17: 1-13
-- Weng S K, Tu J Y. A Visualization Jump Lists tool for Digital Forensics of Windows[J]. KSII Transactions on Internet and Information Systems (TIIS), 2020, 14(1): 221-239
-- Singh B, Singh U, Sharma P, et al. Recovery of forensic artifacts from deleted jump lists[C]//IFIP International Conference on Digital Forensics. Springer, Cham, 2018: 51-65
补记
本文参考了部分网络资源,特别地:
重点参考了郭永健编著的教材《电子数据取证分析实战:基础级》
在此,一并致谢!
历史回顾(链接):
来源:数字取证文摘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论