[바로가기(.LNK)]
바로가기는 Windows Shortcut이라는 명칭으로도 불리며 ".lnk" 확장자를 가지고 있다. 바로가기를 생성하는 방법으로는 사용자가 직접 생성, 프로그램 설치 시에 생성, 운영체제가 자동으로 생성하는 방법들이 존재한다.
바로가기가 생성되는 경로는 아래와 같다.
바탕 화면
%UserProfile%\Desktop
시작 메뉴
%ProgramData%\Microsoft\Windows\Start Menu
%UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu
최근 실행
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
빠른 실행
%ProgramData%\Microsoft\Internet Explorer\Quick Launch
%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UserPinned\TaskBar
[Practice]
FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 %UserProfile%\Desktop을 추출한다.
"내 PC 바로가기" 파일을 추출했다. 추출한 바로가기 파일을 보기 위해 LECmd를 다운로드한다.
https://ericzimmerman.github.io/#!index.md
Eric Zimmerman's tools
ericzimmerman.github.io
-f 옵션 뒤에는 파일명을 지정한다.
Source file은 입력한 파일인 바로가기 파일 자체를 의미하고, Target은 바로가기 파일의 원본 파일을 의미한다. LECmd를 통해 원본 파일에 대한 생성 시간, 수정 시간, 접근 시간을 확인할 수 있다.
다음으로 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent를 추출한다.
-d 옵션 뒤에는 디렉토리를 지정한다. LECmd를 적용한 결과를 html 형식으로 저장하고, --html 옵션 뒤에는 html 파일을 저장할 경로를 지정한다.
LECmd를 적용한 결과를 html 형식으로 저장했다.
index.html을 확인해보면 여러 정보와 함께 어떤 볼륨에서 실행한 파일인지 알 수 있다.
cmd에서 확인한 볼륨 정보와 일치한다.
LECmd를 적용한 결과를 csv 형식으로도 저장할 수 있다.
LECmd를 적용한 결과를 csv 형식으로 저장한 결과이다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Prefetch 개념 및 실습 (0) | 2022.07.28 |
|---|---|
| Jumplist 개념 및 실습 (0) | 2022.07.28 |
| $LogFile, $UsnJrnl 개념 및 실습 (0) | 2022.07.27 |
| $MFT 개념 및 실습 (0) | 2022.07.27 |
| Windows Registry 실습 (0) | 2022.07.23 |
