killvxk/analyzing-windows-lnk-files-for-artifacts

分析 Windows LNK 文件取证痕迹

适用场景

• 从 Windows 快捷方式文件重建用户文件访问历史时
• 追踪已访问的文件、网络共享和可移动介质时
• 调查中需证明用户打开了特定文档时
• 将文件访问与其他时间线取证痕迹关联时
• 识别远程系统或 USB 设备上已访问路径时

前置条件

• 从取证镜像获取 LNK 文件（Recent、Desktop、Quick Launch）
• 用于分析的 LECmd（Eric Zimmerman）、python-lnk 或 LnkParser
• 了解 LNK 文件结构（Shell Link Binary 格式）
• 了解 Windows 系统上 LNK 文件的位置
• 已安装分析工具的取证工作站

工作流程

步骤 1：从取证镜像收集 LNK 文件

# 以只读方式挂载取证镜像
mount -o ro,loop,offset=$((2048*512)) /cases/case-2024-001/images/evidence.dd /mnt/evidence

mkdir -p /cases/case-2024-001/lnk/{recent,desktop,startup,custom}

# 复制 Recent 目录下的 LNK 文件（主要来源）
cp /mnt/evidence/Users/*/AppData/Roaming/Microsoft/Windows/Recent/*.lnk \
   /cases/case-2024-001/lnk/recent/ 2>/dev/null

# 复制自动目标文件（Jump Lists）
cp /mnt/evidence/Users/*/AppData/Roaming/Microsoft/Windows/Recent/AutomaticDestinations/*.automaticDestinations-ms \
   /cases/case-2024-001/lnk/recent/ 2>/dev/null

# 复制自定义目标文件（固定的 Jump List 项目）
cp /mnt/evidence/Users/*/AppData/Roaming/Microsoft/Windows/Recent/CustomDestinations/*.customDestinations-ms \
   /cases/case-2024-001/lnk/custom/ 2>/dev/null

# 复制桌面快捷方式
cp /mnt/evidence/Users/*/Desktop/*.lnk /cases/case-2024-001/lnk/desktop/ 2>/dev/null

# 复制 Startup 文件夹快捷方式（持久化）
cp /mnt/evidence/Users/*/AppData/Roaming/Microsoft/Windows/Start\ Menu/Programs/Startup/*.lnk \
   /cases/case-2024-001/lnk/startup/ 2>/dev/null
cp "/mnt/evidence/ProgramData/Microsoft/Windows/Start Menu/Programs/Startup"/*.lnk \
   /cases/case-2024-001/lnk/startup/ 2>/dev/null

# 查找系统中所有 LNK 文件
find /mnt/evidence/ -name "*.lnk" -type f 2>/dev/null > /cases/case-2024-001/lnk/all_lnk_locations.txt

# 统计并哈希
ls /cases/case-2024-001/lnk/recent/ | wc -l
sha256sum /cases/case-2024-001/lnk/recent/*.lnk > /cases/case-2024-001/lnk/lnk_hashes.txt 2>/dev/null

步骤 2：使用 LECmd 解析 LNK 文件

# 使用 Eric Zimmerman 的 LECmd（Windows 或通过 Mono）
# 处理目录中所有 LNK 文件
LECmd.exe -d "C:\cases\lnk\recent\" --csv "C:\cases\analysis\" --csvf lnk_analysis.csv

# 以详细输出模式处理单个 LNK 文件
LECmd.exe -f "C:\cases\lnk\recent\document.pdf.lnk"

# 处理 Jump List 文件
JLECmd.exe -d "C:\cases\lnk\recent\" --csv "C:\cases\analysis\" --csvf jumplist_analysis.csv

# 输出包含：
# - 源文件路径
# - 目标路径（被访问的文件）
# - 目标创建、修改、访问时间戳
# - LNK 创建和修改时间戳
# - 工作目录
# - 命令行参数
# - 卷序列号和标签
# - 驱动器类型（Fixed、Removable、Network）
# - 机器 ID（NetBIOS 名称）
# - MAC 地址（来自 tracker 数据库）
# - 目标文件大小

步骤 3：使用 Python 解析 LNK 文件

pip install LnkParse3

python3 << 'PYEOF'
import LnkParse3
import os, json, csv
from datetime import datetime

lnk_dir = '/cases/case-2024-001/lnk/recent/'
results = []

for filename in sorted(os.listdir(lnk_dir)):
    if not filename.lower().endswith('.lnk'):
        continue

    filepath = os.path.join(lnk_dir, filename)
    try:
        with open(filepath, 'rb') as f:
            lnk = LnkParse3.lnk_file(f)
            info = lnk.get_json()

            parsed = {
                'lnk_file': filename,
                'target_path': '',
                'working_dir': '',
                'arguments': '',
                'target_created': '',
                'target_modified': '',
                'target_accessed': '',
                'file_size': '',
                'drive_type': '',
                'volume_serial': '',
                'volume_label': '',
                'machine_id': '',
                'mac_address': '',
            }

            # 提取头部时间戳
            header = info.get('header', {})
            parsed['target_created'] = str(header.get('creation_time', ''))
            parsed['target_modified'] = str(header.get('modified_time', ''))
            parsed['target_accessed'] = str(header.get('accessed_time', ''))
            parsed['file_size'] = str(header.get('file_size', ''))

            # 提取链接信息
            link_info = info.get('link_info', {})
            if link_info:
                local_path = link_info.get('local_base_path', '')
                network_path = link_info.get('common_network_relative_link', {}).get('net_name', '')
                parsed['target_path'] = local_path or network_path

                vol_info = link_info.get('volume_id', {})
                if vol_info:
                    parsed['drive_type'] = str(vol_info.get('drive_type', ''))
                    parsed['volume_serial'] = str(vol_info.get('drive_serial_number', ''))
                    parsed['volume_label'] = str(vol_info.get('volume_label', ''))

            # 提取字符串数据
            string_data = info.get('string_data', {})
            parsed['working_dir'] = str(string_data.get('working_dir', ''))
            parsed['arguments'] = str(string_data.get('command_line_arguments', ''))

            # 提取 tracker 数据（机器 ID 和 MAC）
            extra = info.get('extra', {})
            tracker = extra.get('DISTRIBUTED_LINK_TRACKER_BLOCK', {})
            if tracker:
                parsed['machine_id'] = str(tracker.get('machine_id', ''))
                parsed['mac_address'] = str(tracker.get('mac_address', ''))

            results.append(parsed)

            # 打印摘要
            print(f"\n{filename}")
            print(f"  Target: {parsed['target_path']}")
            print(f"  Modified: {parsed['target_modified']}")
            print(f"  Drive: {parsed['drive_type']} (Serial: {parsed['volume_serial']})")
            if parsed['machine_id']:
                print(f"  Machine: {parsed['machine_id']}")

    except Exception as e:
        print(f"  Error parsing {filename}: {e}")

# 将结果写入 CSV
with open('/cases/case-2024-001/analysis/lnk_analysis.csv', 'w', newline='') as f:
    writer = csv.DictWriter(f, fieldnames=results[0].keys() if results else [])
    writer.writeheader()
    writer.writerows(results)

print(f"\n\nTotal LNK files parsed: {len(results)}")
PYEOF

步骤 4：分析取证价值

# 识别从可移动介质访问的文件
python3 << 'PYEOF'
import csv

with open('/cases/case-2024-001/analysis/lnk_analysis.csv') as f:
    reader = csv.DictReader(f)

    print("=== FILES ACCESSED FROM REMOVABLE MEDIA ===\n")
    removable = []
    network = []

    for row in reader:
        if 'DRIVE_REMOVABLE' in row.get('drive_type', '').upper() or \
           'removable' in row.get('drive_type', '').lower():
            removable.append(row)
            print(f"  {row['target_modified']} | {row['target_path']} | Vol: {row['volume_serial']}")

        if 'network' in row.get('drive_type', '').lower() or \
           row.get('target_path', '').startswith('\\\\'):
            network.append(row)

    print(f"\n=== FILES ACCESSED FROM NETWORK SHARES ===\n")
    for row in network:
        print(f"  {row['target_modified']} | {row['target_path']}")

    print(f"\nRemovable media files: {len(removable)}")
    print(f"Network share files: {len(network)}")

    # 检查唯一机器（tracker 数据）
    machines = set()
    for row in [*removable, *network]:
        if row.get('machine_id'):
            machines.add(row['machine_id'])
    if machines:
        print(f"\nMachine IDs found: {machines}")
PYEOF

# 检查 Startup 文件夹 LNK 文件以发现持久化
echo "=== STARTUP FOLDER SHORTCUTS (PERSISTENCE) ===" > /cases/case-2024-001/analysis/startup_persistence.txt
for lnk in /cases/case-2024-001/lnk/startup/*.lnk; do
    python3 -c "
import LnkParse3
with open('$lnk', 'rb') as f:
    lnk = LnkParse3.lnk_file(f)
    info = lnk.get_json()
    target = info.get('link_info', {}).get('local_base_path', 'Unknown')
    args = info.get('string_data', {}).get('command_line_arguments', '')
    print(f'  $(basename $lnk): {target} {args}')
" >> /cases/case-2024-001/analysis/startup_persistence.txt 2>/dev/null
done

核心概念

| 概念 | 描述 | |---------|-------------| | Shell Link（.lnk） | Windows 快捷方式文件格式，包含目标路径、时间戳和元数据 | | 目标时间戳 | 快捷方式所指文件的创建、修改和访问时间 | | 卷序列号 | 目标文件所在驱动器卷的唯一标识符 | | 机器 ID | 由分布式链接跟踪（Distributed Link Tracking）服务嵌入的 NetBIOS 名称 | | MAC 地址 | 创建 LNK 文件的机器上的网络适配器 MAC | | Jump Lists | 每个应用程序的最近和固定文件列表（包含嵌入的 LNK 数据） | | 自动目标（Automatic Destinations） | 系统管理的最近打开文件 Jump List 条目 | | 自定义目标（Custom Destinations） | 用户固定的 Jump List 项目，手动删除前一直保留 |

工具与系统

| 工具 | 用途 | |------|---------| | LECmd | Eric Zimmerman 命令行 LNK 文件解析器，支持 CSV/JSON 输出 | | JLECmd | Eric Zimmerman Jump List 解析器 | | LnkParse3 | 用于编程化 LNK 文件分析的 Python 库 | | lnk_parser | 备用 Python LNK 解析工具 | | Autopsy | 带 LNK 文件分析模块的取证平台 | | KAPE | 自动化 LNK 和 Jump List 取证痕迹采集 | | Plaso | 带 LNK 文件解析器的时间线工具，用于创建超级时间线 | | LNK Explorer | 用于交互式 LNK 文件检查的 GUI 工具 |

常见场景

场景 1：通过 USB 驱动器数据外泄（Data Exfiltration） 分析 Recent 文件夹 LNK 文件中指向可移动驱动器的目标，将卷序列号与 USBSTOR 注册表条目关联，建立从 USB 设备访问的文件列表，确认哪些文档是从可移动驱动器打开的，与文件复制时间戳关联。

场景 2：通过 Startup 快捷方式恶意软件持久化 检查 Startup 文件夹 LNK 文件的恶意目标，检查目标路径和参数中是否有编码命令或可疑可执行文件，验证目标文件是否存在并检查它，将创建时间戳与初始入侵时间关联。

场景 3：网络共享访问调查 筛选具有网络路径（UNC 目标）的 LNK 文件，识别哪些网络共享被访问及访问时间，将机器 ID 与已知企业系统关联，检查是否在正常职责范围外访问了敏感文件服务器，为合规调查构建访问时间线。

场景 4：法律诉讼的文档访问时间线 提取所有 Recent 文件夹 LNK 文件，构建用户访问文档的时间顺序列表，识别与案件相关的特定文件，展示目标时间戳说明文件被打开的时间，与邮件和通信时间线关联。

输出格式

LNK File Analysis Summary:
  User Profile: suspect_user
  Total LNK Files: 234 (Recent: 198, Desktop: 23, Startup: 5, Other: 8)

  File Access Statistics:
    Local drive (C:):    156 files
    Removable media:     23 files (3 unique volume serials)
    Network shares:      15 files (\\server01, \\fileserver)
    Other drives:        4 files

  Machine IDs Found: DESKTOP-ABC123, LAPTOP-XYZ789
  MAC Addresses: AA:BB:CC:DD:EE:FF, 11:22:33:44:55:66

  Removable Media Access:
    Volume Serial 1234-ABCD:
      2024-01-15 14:32 - E:\Confidential\financial_report.xlsx
      2024-01-15 14:45 - E:\Confidential\customer_database.csv
      2024-01-15 15:00 - E:\Projects\source_code.zip

  Startup Persistence:
    updater.lnk -> C:\ProgramData\svc\updater.exe (SUSPICIOUS)
    OneDrive.lnk -> C:\Users\...\OneDrive.exe (Legitimate)

  Timeline: /cases/case-2024-001/analysis/lnk_analysis.csv