Већина корисника рачунара знаће да одређене локације на рачунару могу да складиште информације о томе шта сте учинили. Историја веб прегледача је једно подручје за које сви знају да могу да чувају рачунарске и личне податке. У Виндовс-у постоје друга мање позната места која могу да снимају информације које не бисте нужно очекивали. Неки се користе када се траже форензички подаци и одређују историја одређених датотека. Једно од тих подручја је скромна Виндовс .ЛНК датотека са пречицама.
Са предње стране, једноставна пречица је ситна датотека која упућује на другу датотеку, попут извршне датотеке за покретање програма са радне површине. Неке детаље о пречици можете добити тако што ћете десним кликом на њу кликнути и Својства. Картица Пречица приказује ствари попут места где се налази циљна датотека док ће картица Детаљи приказати датум када је пречица креирана. Али постоји много више од стандардне пречице него што мислите.
Заправо, све .ЛНК датотеке пречица садрже велике количине података које идентификују рачунар на којем су створене као и рачунар на којем се тренутно налазе. На примјер, унутар података датотека похрањена је МАЦ адреса мрежног адаптера и име оригиналног рачунара, као и сви кориштени мрежни путеви. Чак се могу видети и налепница, врста и серијски број уређаја на коме је креиран. Такође је пуно више података који се односе на време и датуме које треба пронаћи.
Ако желите погледати који се подаци похрањују унутар ваших пречица, требат ће вам алат треће стране за декодирање тих информација као нешто попут хекс уредника, који ће углавном показати несметано. Ево 5 бесплатних алата за испробавање. 1. Лнканалисер
У погледу лакоће употребе, Лнканалисер је отприлике једноставан колико и за алат командне линије. Количина информација која се приказује изнад и изнад картице Детаљи у Филе Екплорер-у је прилично разумна иако неки други алати наведени овде могу показати више. Једини потребан аргумент је да наведете путању и име датотеке .ЛНК датотеке.
лнканалисер -и [пут \] пречица.лнк
Приказане су нормалне информације о стазама и датумима / временима пречице и датотеке на коју се позивају. Поред тога, можете видети нормално скривене детаље као што су оригиналне временске ознаке, име, серијски број и врста уређаја на коме је пречица креирана, име рачунара на коме је креирано, мрежни пут / име и такође МАЦ адреса мрежни адаптер на оригиналном рачунару.
Преузмите лнканалисер
2. Виндовс Филе Анализер
Као што име каже, Виндовс Филе Анализер је посвећен алат за прикупљање свих врста информација о одређеним датотекама на рачунару. То укључује сличице, датотеке за предизбор Виндовс, датотеке Индек.ДАТ, датотеке за смеће и пречице за лнк. Програм је са више картица, тако да можете истовремено отворити неколико процеса анализе. Такође је и преносиви самостални извршни програм.
Кликните зелено / жуто дугме или опцију у менију Датотека да бисте анализирали неке пречице, потражите директоријум и појавиће се листа свих .ЛНК пречица. Прозор ће дати стандардне детаље као што су датуми креирања, записа и приступа којима се приступа, као и напреднији подаци као што су назив тврдог диска и серијски, име рачунара и МАЦ адреса мрежне картице. Двапут кликните да бисте добили исте информације у оквиру. Кликом да проширите унос такође се могу дати датуми креирања свих мапа на путу до датотеке. Извештаји се могу одштампати, али не директно сачувати у датотеци.
Преузмите Виндовс Филе Анализер
3. ЛЕЦмд
Иако је ЛЕЦмд алат командне линије, за његово функционисање треба .НЕТ Фрамеворк 4.6, тако да ће га морати инсталирати сви осим Виндовс 10 корисника. Алат нема превише аргумената и можете видети оно што је доступно тако што ћете једноставно укуцати лецмд.еке у наредбени редак. Да бисте добили податке за једну .ЛНК датотеку користите -ф или -д за обраду директорија датотека.
лецмд -ф [патх \] пречица.лнк
лецмд -д стаза
ЛЕЦмд има могућност да информације излази директно у ЦСВ, КСМЛ, ХТМЛ или ЈСОН датотеку. Наведите један или више аргумената - [хтмл / цсв / кмл / јсон] и циљни директориј за спремање сваке датотеке. Додајте -к за велику фасциклу пуну пречица да бисте прескочили излаз на конзолу и смањили време обраде.
лецмд -д [пут] --хтмл Ц: \ хтмл --кмл Ц: \ кмл --цсв Ц: \ цсв -к
Излаз је детаљан и приказује неке прилично напредне информације као што су датуми приступања и креирања датотека, подаци о индексу икона и прозори, врста хард диска / серијски / налепница, информације о мрежном дељењу, ИД машине, МАЦ адреса и добављач мрежног адаптера.
Преузмите ЛЕЦмд
4. Линк Парсер
Линк Парсер је компанија форензике и заштитарске компаније 4Дисцовери. То је једноставан и потпуно преносив алат за читање знатне количине информација из лнк датотеке пречица. Све прикупљене информације могу се сачувати у ЦСВ датотеци за будућу употребу. Један проблем са којим смо се сусрели док смо користили Линк Парсер је да опција отварања датотека изгледа да не функционише, па ће се умјесто ње морати користити отварање мапе.
Након отварања мапе која садржи неке .ЛНК датотеке пречица, добићете прилично мало информација за читање. Сви тренутни и оригинални датуми и времена креирања датотека су доступни уз корисне податке као што су изворни тип погона, име погона, серијски број погона, мрежно име, релативна путања и име рачунара. Занимљиво је да Линк Парсер приказује тренутни ВолумеИД, ОбјецтИД и МАЦ адресу и такође оне вредности када је датотека креирана. Имајте на уму да ћете морати да затворите и поново отворите програм да бисте очистили податке из прозора.
Преузми Линк Парсер
5. ЛНК Парсер
ЛНК Парсер је још један алат командне линије, али може се користити и без ручног куцања команди. Да бисте то учинили двоструко притисните извршну датотеку ЛНК Парсер, испустите .ЛНК пречицу или мапу на прозор. По жељи генерирајте извештај (наведите путању ако сте одабрали генерисање извештаја), одговорите на пар једноставних питања и притисните И или Н ако желите да се излаз пошаље у прозор конзоле. Исте кораке ћете добити и тако да упишете лнк_парсер_цмд директно у наредбени редак без аргумената.
Опције командне линије у основи су исти ручни аргументи за кораке чаробњака.
лнк_парсер_цмд -о [сачувај путању извештаја] -в (хтмл извештај) -ц (цсв извештај) путања [\ пречица.лнк]
Количина информација слична је другим алатима овде и добијате најосновније податке као и скривене податке. Ово укључује детаље изворног погона, НетБИОС назив, МАЦ адресу, атрибуте путање мапе са креираним и приступљеним датумима / временима и свим подацима ИД-а мапе.
Преузмите ЛНК Парсер
6. ЛНК Филе Превиевер
ЛНК Филе Превиевер је бесплатна верзија алата преузета из комерцијалног форензичког софтвера Симпле Царвер Суите. Програм је помало стар, а датира још из 2008. године, али чини се да добро функционише. Мањи проблем су све датотеке унутар мапе приказане у корисничком интерфејсу, а ако нису. ЛНК пречице ће се приказати само као неважећа датотека. ЛНК Филе Превиевер је преносив, али долази у РАР архиви, тако да ће вам требати нешто попут 7-Зип или ВинРАР да га отпакујете.
Да бисте прочитали податке за све пречице у мапи, идите на Процесс> Фолдер и пронађите циљну локацију. Пре тога, поништите избор опције Понови подмапе на дну прозора да не бисте спуштали слојеве у потрази за датотекама. Количина приказаних података није толико као неки алати, али и даље добијате корисне детаље као што су МАЦ адреса, име рачунара, пут мреже, врста тврдог диска, серија и име, као и неколико корисних датума. Кликом на унос приказани су основни детаљи у наставку. Све информације за све обрађене датотеке могу се извести у ЦСВ датотеку.
Преузмите ЛНК Филе Превиевер
Савет: Ако вам неко од алата наредбеног ретка пружа боље информације, али не волите сваки пут да користите наредбени редак да бисте га користили, постоји једноставно решење. Направите малу серијску датотеку и пребаците пречицу на икону .БАТ датотеке. Као додатну опцију, аутоматски отворите резултате у Нотепад-у. На пример, користећи Лнканалисер можете да направите овако нешто:
@ецхо офф
лнканалисер -и% ~ 1>% темп% \ лнкфиле.ткт
Бележница% темп% \ лнкфиле.ткт
Сачувајте датотеку као батцхнаме.БАТ и на њу испустите пречицу. Резултати ће се послати у лнкфиле.ткт у фасцикли ТЕМП, а затим ће Нотепад отворити текстуалну датотеку. Резултате можете, наравно, послати у ЦСВ или ХТМЛ датотеку у оквиру програма уместо да отварате Нотепад. Једноставно, али ефикасно.