Форензику часто называют наукой о расследовании киберпреступлений. Звучит достаточно пафосно и, естественно, никакие серьезные киберинциденты мы разбирать не будем. Зато выясним, как анализировать свойства ярлыков последних файлов, которые были открыты в системе. И в этом нам помогут файлы LNK.
В судебной экспертизе LNK-файлы – бесценный источник информации. Это ярлыки, на которые ссылаются другие файлы – например, расположенные на десктопе. Файлы с расширением *.lnk могут создавать как пользователи, так и ОС Windows, причем последняя делает это автоматически.
Что можно узнать благодаря файлам LNK
Многие почему-то представляют файлы LNK как мусор, но на самом деле у каждого из них есть миссия. Windows генерирует их в тот момент, когда вы открываете файл на своем жестком диске или по сети, или восстанавливает документ из «Корзины». Бесполезная (только на первый взгляд!) информация может многое рассказать криминалисту, который будет исследовать операционную систему:
- где расположен исходный объект и его временные метки;
- идентификатор (программный номер файловой системы) тома, на котором открыт файл;
- свойства системы, в которой хранится файл с расширением *.lnk;
- MAC-адрес тома, с которого открыт файл (сетевой адрес для файлов, которые хранятся в сети или на удаленных ПК);
- сколько весит (в байтах) объект, связанный с LNK-файлом.
Разбираем инструменты для работы с LNK-файлами
Для экспериментов возьмем Sunnych.pdf (он будет часто появляться на скринах). Его мы ранее просматривали на другом ПК в локальной сети, плюс дополнительно скопировали на свою машину и тоже открыли. Попробуем найти следы этих манипуляций.
Чтобы увидеть последние файлы в системе, выполните код:
С:\Users\{user}\AppData\Roaming\Microsoft\Windows\Recent\
Чтобы увидеть последние файлы в реестре, перейдите по такому пути:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.pdf
В форензике часто используется вспомогательное ПО, и многие (я в их числе) применяют в работе программы NirSoft. Проблема в том, что не существует универсальных методов, которые подходят под разные задачи. Если раньше небольшой утилиты OpenSaveFilesView с головой хватало для того, чтобы узнать всю подноготную о файле, сейчас этот способ не работает.
Здесь мы видим, что нашего файла Sunnych.pdf в списке нет, хотя мы сделали все, чтобы он «наследил» в системе: открыли по сети, сохранили на свой компьютер и снова открыли.
Хочу показать вам еще одну полезную программу – MiTec Windows Registry Recovery.
На скрине хорошо виден сетевой адрес, MAC-адрес, размер файла и временная шкала.
Но мы не доверяем, а проверяем. Потому смотрим, что творилось на обоих компьютерах, где мы открывали наш Sunnych.pdf. Попутно усложняем задачу: файлы Sunnych.pdf и INFO_совершенно секретно.txt мы копировали через «Проводник» Windows, потому данных об альтернативном поиске нет. Плюс второй файл мы не открывали, чтобы сравнить результаты эксперимента.
Теперь воспользуемся утилитой lifer.
То же самое проделаем в LNK Parser:
И последний пример – с Link Parser 4Discovery – пожалуй, самым мощным из предложенных инструментов. Он находит и отображает три десятка атрибутов, поддерживает сортировку по дате и времени, экспорт в CSV-файл (чтобы проще было анализировать) и Multi-Select для отдельных объектов. При этом не обязательно делать криминалистический разбор одного файла – можно выделить несколько элементов в папке или проанализировать все ее содержимое.
Результат работы Link Parser 4Discovery
Надеюсь, я немного прояснил ситуацию с тем, как в форензике анализируют последние открытые файлы. Еще больше полезной информации по кибербезопасности и не только ищите на нашем форуме codeby.net, где у нас живое сообщество с активными обсуждениями. А тех, кто хочет серьезно прокачать свои навыки, приглашаем на обучение – у нас есть курс по анонимности и безопасности в интернете.