О чём может рассказать простой ярлык в Windows 10

В компьютерной криминалистике или иначе форензике значение имеет всё, даже самые незначащие на первый взгляд мелочи. Взять хотя бы пустой ярлык. Связанный с ним файл надежно удален, однако хранящаяся в ярлыке информация может оказаться столь же значимой, как и сам объект, на который ярлык ссылался. Ведь помимо пути и временных меток, оставленные пользователем ярлыки могут хранить такие данные как идентификаторы томов и MAC-адреса сетевых ресурсов.

Для углубленного анализа ярлыков было придумано немало достойных утилит, среди которых можно отметить MiTeC Windows File Analyzer. Предназначается она для извлечения подробной информации из некоторых типов баз данных, а также из ярлыков. Тулза работает с ярлыками LNK, файлами Prefetch, DAT и базами данных Thumbs.db. По умолчанию утилита получает список ярлыков из папки %userprofile%\AppData\Roaming\Microsoft\Windows\Recent, но вы можете указать и свое расположения с ярлыками.

А теперь посмотрим, что это нам дает.

Предположим, что вы начальник в офисе и хотите выяснить, кто из сотрудников подключал к вашему рабочему компьютеру флешку. Как вы узнали, что такое подключение имело место? Очень просто, в папке недавних документов у вас остался указывающий на съемный накопитель ярлык. Откройте папку с ярлыком в Windows File Analyzer,

Windows File Analyzer

Windows File Analyzer

найдите его в списке и откройте двойным кликом его свойства.

Windows File Analyzer

В них вы обнаружите не только дату создания ярлыка, но также название и серийный номер тома флешки.

Эти данные являются той самой зацепкой, которая поможет вам выявить любителя втыкать флешки в чужие компьютеры.

Попросив на минуту у подозреваемого накопитель, подключите его к ПК, перейдите в него в командной строке и выведите его содержимое командой dir.

CMD - dir

При этом в консоли вы получите и название флешки, и серийный номер тома. Правда, пользователь может отформатировать накопитель, в этом случае Windows будет сгенерирован новый серийник, но вряд ли он станет это делать специально. Если юзер достаточно умен, он скорее позаботится о том, чтобы удалить следы своей работы.

С таким и даже большим успехом с помощью Windows File Analyzer можно идентифицировать сетевой ресурс.

Обнаружив ярлык сетевой папки, вы можете установить связанный с ней ПК, сравнив MAC-адрес сетевого адаптера компьютера с тем физическим адресом,

Сеть

который указан в ярлыке.

Windows File Analyzer

Данный пример еще раз показывает, насколько важными уликами могут оказаться хранящиеся в ярлыках метаданные, и это должно послужить поводом трижды подумать перед тем, как втихую начинать пользоваться чужим компьютером.

Тулзу можно скачать здесь: www.mitec.cz/wfa.html

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Как в Windows 10 создать ярлык папки Windows Tools на рабочем столе

24 июня этого года Microsoft должна представить очередное крупное обновление Windows 10 с измененным Проводником, ...

Как настроить автоматическое открытие нужного сайта при запуске компьютера

Как настроить автоматическое открытие нужного сайта при запуске компьютера? Обычно пользователи компьютеров заботятся о том, ...

Как в Windows 10 добавить ярлык приложения Параметры на классическую панель управления

Приложение Параметры появилось уже в первой версии Windows 10, вышедшей в 2015 году. С тех ...

Как в контекстное меню веб-ярлыка добавить дополнительные опции для открытия его в разных браузерах

Если на рабочем столе у вас имеется достаточно места, вместо закладки на веб-страницу в браузере ...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *