Page info
- Page type : PFP Reference
- Knowledge location : 1. Windows System Analysis >> Artifact Analysis >> Shortcut
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
바로가기 링크(숏컷) 파일
바로가기(Shortcut)는 다른 파일의 정보(경로, 시간 정보 등)를 포함하는 또 다른 작은 파일로, 주로 대상 파일을 손쉽게 사용하기 위하여 사용자가 접근하기 편한 경로에 생성되는 파일이다.  |
| 바로가기 파일 속성 |
 |
| 최근 문서(Recent) 경로에 존재하는 바로가기 예시(PFP Filesystem Lookup) |
포렌식 분석 관점에서는 바로가기 파일이 가리키는 파일에 대한 추가적인 정보를 얻거나 대상 파일이 삭제된 후에도 여러 정보를 제공해 주는 역할을 하기 때문에 파일 시스템 분석과 교차하여 꼭 내용을 확인해볼 필요가 있다.
 |
| 바로가기 파일 분석 예시 |
바로가기 파일은 OS설치 시점, 응용프로그램 설치 시점, 문서파일 열람 시점에 자동으로 생길 수 있으며, 시스템마다 사용자 취향에 따라 존재할 가능성이 있다. 바로가기 파일이 주로 존재하는 위치는 아래 분석 대상(Target)에서 확인 가능하며, 생성되는 위치에 제한이 없기 때문에 파일 시스템 분석 과정에서 .lnk확장자에 관한 전반적인 확인이 필요하다.
분석 대상(Target)
*.evt (XP or lower)
Target Path(Location)
|
[Desktop Folder]
%UserProfile%\Desktop\ [Recent Folder] %UserProfile%\Recent\ %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\ [Start Program Folder] %UserProfile%\Start Menu\Programs\ %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ [Quick launch folder] %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\ |
Check List
|
[Shortcut information]
- The creation time of link target - The modification time of link target - The access time of link target - The file size of link target - Original path of link target - Volume serial number - Volume type(portable, unportable, network drv, cdrom, ram) - Volume label - Mac address - Net bios name |
Related Tools
|
[Public] Shortcut(Windows)
WFA |
바로가기가 주로 생성되는 경로로, 바로가기 파일을 확보 하고자 할 때 반드시 확인해야할 필요가 있으며, 파일 시스템 전체에 대해 .lnk 확장자를 가지는 파일에 대한 종합적인 확인도 필요하다.
댓글 없음:
댓글 쓰기
질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.