11 Eyl, 2021

LNK Dosyaları Nedir ve Nasıl Toplanır?

LNK Dosyaları nedir?

LNK dosyaları (Windows kısayol dosyaları), genellikle bir kullanıcı dosyalarını her açtığında, Windows işletim sistemi tarafından otomatik olarak oluşturulan dosyalardır. Bu dosyalar, işletim sistemi tarafından belirli bir dosyaya hızlı erişim sağlamak için kullanılır. Ayrıca kullanıcıların etkinliklerini kolaylaştırmak için kendileri tarafından oluşturulabilir.

LNK dosyaların konumu

  • Windows 7 – 10 için: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
  • Windows XP için: C:\Documents and Settings\%USERNAME%\Recent
  • Masaüstünde (bu tür dosyalar genellikle kullanıcılar tarafından belgelere ve uygulamalara hızlı erişim sağlamak için oluşturulur)
  • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recent\ (Windows 7 – 10 arasındaki Microsoft Office belgeleri için)
  • Startup folder

LNK Dosyaları Adli bilişim açısında Neden Önemlidir?

LNK dosyaları, sistemdeki artık mevcut olmayan dosyaları bulmak için adli araştırmacılara mükemmel bir çözüm sunabilirler.

Dosyalar güvenli silinmiş (Wiped), bir USB veya ağ paylaşımında depolanmış olabilir, dolayısıyla dosya artık sistemde olmasa da, orijinal dosya ile ilişkili LNK dosyaları sistemde hala bulunmaktadır ve sistemde ne yürütüldüğüne dair değerli bilgileri ortaya çıkaracaktır.

LNK dosyaları aşağıdaki kanıt değeri öğelerini içerir:

  1. Dosyanın orijinal yolu.
  2. Orijinal dosyanın MAC times (dosyaların ne zaman oluşturulduğunu, değiştirildiğini ve erişildiğini kaydeden meta veridir).
  3. LNK dosyanın depolandığı ana bilgisayarın volume name, serial number, NetBIOS name, ve MAC adresi.
  4. Dosyanın ağ üzerinde paylaşmış ise veya uzak bilgisayarda depolanmışsa ağ paylaşımı ayrıntıları.
  5. LNK dosyanın dosya boyutu.

LNK dosyayı kurtarma

İhtiyacımız olan LNK dosyası silinmiş ise herhangi bir “Carving” araç yoluyla kurtarılmalıdır. LNK dosyalarının, dosya başlık imzası, hex: 4C 00 00 00 ile bulunabilir.

LNK dosyaları Binalyze Air ile toplama

Binalyze Air vakit kaybetmeksizin gerçek zamanlı olarak siber olaylara müdahale imkânı sağlar, mevcut SIEM/SOAR ürünleriyle entegre bir şekilde otomatik olarak 120’den fazla 10 dakika içerisinde dijital adli deliler toplar.

Bu tool ile bir sistem üzerindeki mevcut olan tüm LNK dosyaları toplama işlemini gerçekleştirilebilirsiniz.

1Acquisition kısmında yeni profil oluşturacağız sadece LNK dosyaları getirilmesi istiyoruz.

2- Sonraki adım Endpoints kısmında istediğimiz sistem üzerindeki LNK dosyaları toplama işlemini başlatabiliriz.

3- LNK dosyaların kaydedileceği yolu belirtiyoruz (yerel veya ağ üzerindeki depolama) ayrıca toplayacağımız delilerin şifreleme ya da sıkıştırma işlemi yapabiliriz.

4- Binalyze Air 14 saniye içerisinde uç noktanın üzerindeki tüm LNK dosyaları topladı.

5- LNK dosyaları topladıktan sonra “LECmd” (LNK explorer) aracı ile Offline inceleme yapabiliriz ve aşağıdaki komutu çalıştırarak csv çıktısı alabiliriz.

LECmd.exe -d [topladığımız LNK dosyaların yolu] -q –csv

Kaynakça
magnetforensics.com
forensicswiki.xyz
belkasoft.com
binalyze.com/air
ericzimmerman.github.io

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

TIKLAYIN
İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar