Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |
Tags
- exploit
- #C언어 #연산자
- Credential Access
- elasticsearch
- rce
- Threat Intelligence
- 프론트엔드개발자
- #whitespace #
- Index
- pwnable
- 정보보안
- software
- AD
- 랜섬웨어
- sql인젝션
- PetitPotam
- error 583066
- 시스템해킹
- windows
- wargame
- SQLMap
- filesystem
- Mitre
- 백엔드개발자
- ATT&CK
- forensic
- node.js
- 가이드라인
- elk stack
- 침해사고
Archives
- Today
- Total
Plit00's Story
[Windows Artifact] - Shortcut(.*LNK) 본문
Windows 바로가기 파일
- 파일, 네트워크 공유, 검색 결과 등 여러 유형의 객체 간편하게 연결하기 위한 용도
- 생성되는 바로가기 파일 내에 포렌식적으로 중요한 정보 저장
- 파일 형식(The Shell Link Binary File Format)
[MS-SHLLINK]: Shell Link (.LNK) Binary File Format
Specifies the Shell Link Binary File Format, which contains information that can be used to access another data object. The Shell Link Binary
learn.microsoft.com
- Desktop 폴더 : C:\Users\"User_name"\Desktop
- Recent 폴더 : C:\Users~''\AppData\Roaming\Microsoft\Windows\Recent
- Start 폴더 : C:\Users\"User_name"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
- QuickLaunch 폴더 : C:\Users\"User_name"\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
Ex)
Tools
- LECmd
Eric Zimmerman's tools
ericzimmerman.github.io
In FTK imager : Users\username\AppData\Roaming\Microsoft\Windows\Recent\.*LNK
* Reference
http://www.forensic-artifact.com/windows-forensics/linkfile
'Security > Forensic' 카테고리의 다른 글
| [Windows FileSystem] - (1) (0) | 2023.02.09 |
|---|---|
| [Mac OS] - Architecture (1) | 2023.02.06 |
| [Windows] - LSASS Memory Dump (0) | 2022.05.15 |
| [Windows] - Authentication Structure(lsass.exe) (0) | 2022.05.15 |
| [Windows] - Access Token(2) (0) | 2022.05.15 |
'Security/Forensic' Related Articles
more
Comments