Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
Tags
- wargame
- Mitre
- sql인젝션
- Threat Intelligence
- node.js
- #C언어 #연산자
- 시스템해킹
- filesystem
- 정보보안
- AD
- Index
- error 583066
- ATT&CK
- #whitespace #
- rce
- 가이드라인
- 백엔드개발자
- Credential Access
- 프론트엔드개발자
- exploit
- 침해사고
- elk stack
- PetitPotam
- 랜섬웨어
- pwnable
- software
- windows
- SQLMap
- forensic
- elasticsearch
Archives
- Today
- Total
Plit00's Story
[Windows Artifact] - Shortcut(.*LNK) 본문
Windows 바로가기 파일
- 파일, 네트워크 공유, 검색 결과 등 여러 유형의 객체 간편하게 연결하기 위한 용도
- 생성되는 바로가기 파일 내에 포렌식적으로 중요한 정보 저장
- 파일 형식(The Shell Link Binary File Format)
[MS-SHLLINK]: Shell Link (.LNK) Binary File Format
Specifies the Shell Link Binary File Format, which contains information that can be used to access another data object. The Shell Link Binary
learn.microsoft.com
- Desktop 폴더 : C:\Users\"User_name"\Desktop
- Recent 폴더 : C:\Users~''\AppData\Roaming\Microsoft\Windows\Recent
- Start 폴더 : C:\Users\"User_name"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
- QuickLaunch 폴더 : C:\Users\"User_name"\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
Ex)
Tools
- LECmd
Eric Zimmerman's tools
ericzimmerman.github.io
In FTK imager : Users\username\AppData\Roaming\Microsoft\Windows\Recent\.*LNK
* Reference
http://www.forensic-artifact.com/windows-forensics/linkfile
'Security > Forensic' 카테고리의 다른 글
| [Windows FileSystem] - (1) (0) | 2023.02.09 |
|---|---|
| [Mac OS] - Architecture (1) | 2023.02.06 |
| [Windows] - LSASS Memory Dump (0) | 2022.05.15 |
| [Windows] - Authentication Structure(lsass.exe) (0) | 2022.05.15 |
| [Windows] - Access Token(2) (0) | 2022.05.15 |
'Security/Forensic' Related Articles
more
Comments