О чём может рассказать простой ярлык в Windows 10

В компьютерной криминалистике или иначе форензике значение имеет всё, даже самые незначащие на первый взгляд мелочи. Взять хотя бы пустой ярлык. Связанный с ним файл надежно удален, однако хранящаяся в ярлыке информация может оказаться столь же значимой, как и сам объект, на который ярлык ссылался. Ведь помимо пути и временных меток, оставленные пользователем ярлыки могут хранить такие данные как идентификаторы томов и MAC-адреса сетевых ресурсов.

Для углубленного анализа ярлыков было придумано немало достойных утилит, среди которых можно отметить MiTeC Windows File Analyzer. Предназначается она для извлечения подробной информации из некоторых типов баз данных, а также из ярлыков. Тулза работает с ярлыками LNK, файлами Prefetch, DAT и базами данных Thumbs.db. По умолчанию утилита получает список ярлыков из папки %userprofile%\AppData\Roaming\Microsoft\Windows\Recent, но вы можете указать и свое расположения с ярлыками.

А теперь посмотрим, что это нам дает.

Предположим, что вы начальник в офисе и хотите выяснить, кто из сотрудников подключал к вашему рабочему компьютеру флешку. Как вы узнали, что такое подключение имело место? Очень просто, в папке недавних документов у вас остался указывающий на съемный накопитель ярлык. Откройте папку с ярлыком в Windows File Analyzer,

Windows File Analyzer

Windows File Analyzer

найдите его в списке и откройте двойным кликом его свойства.

Windows File Analyzer

В них вы обнаружите не только дату создания ярлыка, но также название и серийный номер тома флешки.

Эти данные являются той самой зацепкой, которая поможет вам выявить любителя втыкать флешки в чужие компьютеры.

Попросив на минуту у подозреваемого накопитель, подключите его к ПК, перейдите в него в командной строке и выведите его содержимое командой dir.

CMD - dir

При этом в консоли вы получите и название флешки, и серийный номер тома. Правда, пользователь может отформатировать накопитель, в этом случае Windows будет сгенерирован новый серийник, но вряд ли он станет это делать специально. Если юзер достаточно умен, он скорее позаботится о том, чтобы удалить следы своей работы.

С таким и даже большим успехом с помощью Windows File Analyzer можно идентифицировать сетевой ресурс.

Обнаружив ярлык сетевой папки, вы можете установить связанный с ней ПК, сравнив MAC-адрес сетевого адаптера компьютера с тем физическим адресом,

Сеть

который указан в ярлыке.

Windows File Analyzer

Данный пример еще раз показывает, насколько важными уликами могут оказаться хранящиеся в ярлыках метаданные, и это должно послужить поводом трижды подумать перед тем, как втихую начинать пользоваться чужим компьютером.

Тулзу можно скачать здесь: www.mitec.cz/wfa.html

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...

Рекомендуемые публикации:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *