Merhaba TürkHackTeam Üyeleri.
Bu Konumda Sizlere LNK Dosyalarının Analizini Anlatacağım.
Konu İçeriği
➤ Nedir Bu LNK Dosyaları?
➤ Windows LNK Dosyalarını Analiz Edelim
Nedir Bu LNK Dosyaları?
LNK yani kısayol dosyaları bir uygulamanın genellikle kolay erişilebilmesi için farklı bir dizinde bulunan referans dosyalarıdır. Bu dosyalar bir nevi yönlendirme dosyalarıdır. Bir uygulamanın kısayolunu açtığımızda bizi o uygulamaya yönlendirir ve o uygulamayı çalıştırır. Aynı zamanda bu lnk dosyalarına bir kısayol tuşuda atanabilir. Bu sayede klavyeden önceden ayarlanmış girdi girildiğinde o kısayol yani lnk dosyası çalışmış olur. Bu lnk dosyalarına adli açıdan bakacak olursak üzerinde bağlantılı olduğu uygulama hakkında veriler içerdiği için önemli dosyalardır.
Recent files kavramı genellikle kullanıcı tarafından en son erişilen uygulamaları ifade eder. E tabi adli açıdan kullanıcının en son yaptığı olaylar büyük öneme sahiptir. Bu kısayol dosyaları kullanıcı tarafından oluşturulduktan sonra recent klasörünün altına toplanır. Windows 10 da bu recent yani en son kullanılanlar klasörü aşağıdaki dizinde yer alır.
Kod:
[CENTER]C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent[/CENTER]
LNK Dosyalarını İnceleyerek Hangi Verilere Ulaşabiliriz?
» LNK dosyasının bağlı olduğu dosyanın ismi ve bulunduğu dizin,
» LNK dosyasının bağlı olduğu dosyanın oluşturulma, değiştirlme tarihleri,
» LNK dosyasının bağlı olduğu dosyanın boyutu ve saklandığı volume'un seri numarası,
» Bulunduğu sistemin NETBIOS ve MAC adresi,
» LNK dosyasının bağlı olduğu dosyaya erişilen network hakkında bilgiler
Windows LNK Dosyalarını Analiz Edelim
» Piyasada LNK dosyalarını analiz etmek için pekçok araç bulunmakta. Ben en yaygın kullanılanlardan birisi olan Windows File Analyzer aracını kullanacağım. Öncelikle bu sayfaya girip Download butonuna tıklayarak aracımızı indiriyoruz.
» Aracımızın indirilme işlemi bittikten sonra açıyoruz. Ve karşımıza şöyle bir ekran geliyor. Buradan üst panelde bulunan Analyze Shortcuts butonuna tıklıyoruz.
» Akabinde recent yani son kullanılan öğeler klasörünün nerede olduğu soruyor. Zaten büyük bir ihtimal ile program otomatik klasörün yolunu bulup işaretleyecektir. Recent klasörünü işaretledikten sonra Tamam butonuna tıklıyoruz.
» Ve bizden işletim sistemimizi soruyor. Buradan işletim sistemimizi seçtikten sonra Ok butonuna tıklıyoruz.
» Ve görmüş olduğunuz gibi analizi otomatik yapıp bize sonuçlarını veriyor. Şimdi bu sonuçları inceleyecek olursak, Linked Path değeri kısayolu oluşturulan dosyanın orijinal halinin nerede bulunduğunu gösterir, Created değeri kısayolun ne zaman oluşturulduğunu gösterir, Last Accessed değeri o kısayola en son ne zaman erişildiği bilgisini verir, Size değeri o dosyanın kaç bayt olduğu değerini verir, NetBIOS ve MAC Adress değerleri ise ilgili uygulama eğer networke bağlanıyor ise haberleşme bilgilerini verir.
Okuduğunuz İçin Teşekkür Ederim.
Esenlikle Kalın..
Saygılarımla:Smiley1021:
