DFIR - LNK Forensics

LNK dosya analizi : ilk önce .lnk nedir bunu bilmemiz gerekir .lnk windows işletim sistemindeki kısayol dosyalarının genel adıdır. Kısayol dosyaları, kullanıcıya gerçek bir dosyaya veya uygulamaya hızlı erişim sağlayan simgelerdir.​ bir .lnk dosyası kullanıcı tarafından veya windows işletim sistemi tarafından otomatik olarak oluşturulabilir ayrıca .lnk dosyaları, bir dosyanın yolunu, boyutunu, oluşturulma, erişim, değiştirilme tarihi gibi birçok bilgi sunar.

Örnek .lnk dosyaları.

                                                                     

.lnk dosyalarının ne olduğunu öğrendiğimize göre sıra bunu FTK Imager ile aldığımız imajı açıp içerisinden bir .lnk dosyasını masaüstüne export edip incelemek kaldı FTK Imager i açtıktan sonra belirtilen bölüm olan “Add Evidence Item” kısmından imajımızı açıyoruz.

imajımızı açtıktan sonra hangi .lnk uzantılı simgeyi açmak isterseniz onu seçin ben bu analizde masaüstündeki “bu bilgisayar” simgesini export edicem sanalmakineyedek.001 > Basic Data Partition > Root > Users > Mehmet > Desktop > Bu bilgisayar seçeneğine sağ tık yapıp export files seçeneğine basıyoruz ve .lnk simgemizi nereye export etmek istiyorsak konumunu seçiyoruz.

Export ettiğimiz “bu bilgisayar” kısayolumuz masaüstüne gelmiş simgemize sağ tıklayarak en alttaki özellikler kısmına tıklıyoruz.

Açılan sayfamızda kısayolumuz hakkında bazı bilgiler vermektedir. (dosya türü, konumu, boyutu, oluşturulma, değiştirme, erişim tarihleri vs.)

.LNK Forensics Anlatım Videosu : https://www.youtube.com/watch?v=s-mWe3uypno