I file LNK, denominati Shortcut o scorciatoie, sono un artefatto relativamente semplice ma prezioso per l'investigatore forense. Sono file di collegamento che si collegano a un'applicazione o a un file e terminano con un'estensione .LNK. I file LNK possono essere creati dall'utente o automaticamente dal sistema operativo Windows.
Quando sono creati da Windows vengono generati quando un utente apre un file o un documento locale o remoto, fornendo agli investigatori informazioni preziose sull'attività di un sospetto.
Questi sono eccellenti artefatti per gli investigatori forensi che stanno cercando di trovare file che potrebbero non esistere più sul sistema che stanno esaminando. I file potrebbero essere stati cancellati, archiviati su una USB o una condivisione di rete, quindi anche se il file potrebbe non essere più presente, i file LNK associati al file originale continueranno a esistere (e riveleranno informazioni preziose su ciò che è stato eseguito sul file sistema).
Attenzione però, perchè non tutti questi artefatti contengono le stesse informazioni, che posso variare da uno all'altro.
I file LNK in genere contengono i seguenti elementi di valore probatorio:

• Il percorso originale del file
• tempo MAC del file originale; non solo un file LNK conterrà timestamp per il file LNK stesso, ma conterrà anche orari MAC per il
• file collegato all'interno dei suoi metadati
• Informazioni sul volume e sul sistema in cui è archiviato il file LNK. Ciò includerà il nome del volume, il numero di serie, il nome
• NetBIOS e l'indirizzo MAC dell'host in cui è archiviato il file collegato
• Dettagli di rete se il file è stato archiviato su una condivisione di rete o su un computer remoto
• Dimensione file del file collegato

Un utile tool per analizzarli è LECmd.exe di Eric Zimmerman

Tweet