eCDFP (Module-6) (Window Forensics) (Part - 2 )

 LNK File (Shortcut)  File တွေကို User ကနေ Create လုပ်တာရှိသလို Window  Operation System ကနေလဲ Create လုပ်တာတွေရှိနိုင်ပါတယ်။ LNK File (Shortcut)  File တွေ့နိုင်တဲ့ နေရာတွေက အောက်ဖော်ပြပါနေရာများဖြစ်ပါတယ် ---

 

LNK File (Shortcut) - File Location (Window 7 To Window 11)

 

• C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent

• On the desktop ( User Created Easily Access To Application & Documents)

• (For Microsoft Office documents)

    C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recent\

• C:\Users\%USERNAME%\Downloads

• Startup folder

        Startup Folder Location (Window 7 To Window 11)

 C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

        C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

             Press Windows + R to open the Run Box.

            Type shell:startup for the current user’s Startup folder.

        Type shell:common startup for the all users’ Startup folder

How To Analysis

Recent & Office  LNK File များကို Analysis ပြုလုပ်ဖို့အတွက် FTK Imager နဲ့ Export ပြုလုပ်လိုက်ပါတယ်။ Analysis ပြုလုပ်ဖို့အတွက် Open Source ဖြစ်တဲ့ EZ Tools ထဲမှာ LECmd ကိုအသုံးပြုပါမယ်။ https://ericzimmerman.github.io/#!index.md

Law Enforcement Usage

User ကနေ Application (Or) Documents File ကိုဖွင့်တဲ့ အချိန်ဖြစ်တဲ့ First Open (Or) Last Open ကို Analysis ပြုလုပ်ဖို့အတွက် အသုံးပြုပါတယ်။

 Private Sector Usage

Shellbags , JumpLists တွေနဲ့တွဲဖက်ပြီး File/ Folder Access ပြုလုပ်တာတွေ၊ LNK File တွေမှာ Malicious Shell Code တွေပါမပါစစ်ဆေးတာအတွက် အသုံးပြုပါတယ်။

အောက်မှာတော့ LECmd နဲ့ Report ထုတ်နိုင်တဲ့ပုံစံအချို့ကိုဖော်ပြပေးထားပါတယ်။ ကိုယ်အတွက် အဆင်   အပြေဆုံးဖြစ်နိုင်မဲ့ Report ပုံစံကိုရွေးချယ်အသုံးပြုနိုင်ပါတယ်။ 

 LNK (Short Cut) File ကနေ ရနိုင်တဲ့ အချက်အလက်တွေကတော့

Original Path: The path to the original file that the .LNK file points to.

Timestamps for the target file and LNK file (modification, access, creation)

Volume Information: Details about the volume where the .LNK file is stored, such as:

(Volume name, Serial number, NetBIOS name, MAC address of the host computer)

Network Details: If the file was stored on a network share or remote computer, the .LNK file can contain network-related information.

File Size: The size of the original file.

Attributes associated with the target file (read-only, hidden, system)

·     Deleted File / Folder / Application Logs - The LNK files associated with the original file will still exist.

LeLECmd ကိုအသုံးပြုပြီး Report အမျိုးမျိုးထုတ်ကြည့်ပါမယ်။

Parse a single LNK file and view the results within the console

Parse a single LNK file and output the results to CSV at specified location

Parse a single LNK file, output to JSON in pretty format

Command line: -f C:\Users\DFM\Desktop\LNK ANALYSIS\Recent\1.lnk --json C:\Users\DFM\Desktop\LNK ANALYSIS\ Out_Put –pretty

 

Parse a single LNK file output to HTML at specified location

Command line: -f C:\Users\DFM\Desktop\LNK ANALYSIS\Recent\1.lnk --html C:\Users\DFM\Desktop\LNK ANALYSIS\Out_Put

Parse all files in a directory (regardless of presence of .LNK file extension), but only provide output for those .LNK files that point to removable drives

C:\Users\DFM\Desktop\LNK ANALYSIS>LECmd.exe -d "C:\Users\DFM\Desktop\LNK ANALYSIS\Recent"  --all  -r  --html  "C:\Users\DFM\Desktop\LNK ANALYSIS\Out_Put"

Parse all files in Microsoft Office LNK directory  and output to HTML at specified location

C:\Users\DFM\Desktop\LNK ANALYSIS>LECmd.exe -d "C:\Users\DFM\Desktop\LNK ANALYSIS\Office LNK" --all  --html  "C:\Users\DFM\Desktop\LNK ANALYSIS\Office LNK"

Report ပုံစံတွေပြီးတဲ့နောက်မှာ Report ထဲမှာပါတဲ့အချက်အလက်တွေထဲကမှ LNK နဲ့ပတ်သတ်တဲ့ အရေးကြီးတဲ့ အချက်တွေကိုရေးသားသွားပါမယ်။ Example - FTK Imager DFM.lnk  >  Console Logs

LEcmd Output ကနေ အောက်ပါအတိုင်း Timestamp တွေကိုထုတ်ပေးတာကိုတွေ့ရမှာပါ။  LNK (Shortcut) မှာ သူကိုယ်တိုင်အတွက် Timestamp  (MAC) Time ပါဝင်သလို Point ထားတဲ့ မူလ Original File ရဲ့ (MAC) Time လဲပါဝင်ပါတယ်။ (Desktop ပေါ်မှာ ရှိတဲ့ LNK File ထက် Recent File ထဲမှာရှိတဲ့ LNK File က ပိုပြီး အချက်အလက်တိကျပါတယ်။ ဘာလို့လဲဆိုရင် Recent User Activity ကို Log အဖြစ်ထားရှိ တာကြောင့်ဖြစ်ပါတယ်။ 

Source Created - LNK (Shortcut) ကို User/System က Created လုပ်ခဲ့တဲ့အချိန်။ (First Opened  By The User) User ကနေ File/Folder/Program ကို ပထမဆုံးဖွင့်တဲ့အချိန်လို့ဆနိုင်ပါတယ်။

Source Modified – LNK (Shortcut) ကို User/System က Modified လုပ်ခဲ့တဲ့အချိန်။ (Last Opened By The User ) User ကနေ File/Folder/Program ကို နောက်ဆုံးဖွင့်တဲ့အချိန်လဲယူဆနိုင်ပါတယ်။

 Source Accessed - LNK (Shortcut) ကို  User/System က Accessed လုပ်ခဲ့တဲ့အချိန်။

Target Created - LNK (Shortcut) ညွန်းထားတဲ (Point လုပ်ထားတဲ့) မူလ File/Folder/Application ကို User/System က System မှာ Created လုပ်သည့်အချိန်။

Target Modified - LNK (Shortcut) ညွန်းထားတဲ (Point လုပ်ထားတဲ့) မူလ File/Folder/Application ကို User/System က System မှာ Modified ပြုလုပ်သည့်အချိန်။

Target Accessed - LNK (Shortcut) ညွန်းထားတဲ (Point လုပ်ထားတဲ့) မူလ File/Folder/Application ကို User/System က System မှာ Accessed ပြုလုပ်သည့်အချိန်။

  Target (MAC Time) တွေကို MFT Table ($Standard_Information) နဲ့ Cross Analysis ပြုလုပ်နိုင်ပါတယ်။

Microsoft Office File ကို Create လုပ်မယ်ဆိုရင် Recent Folder ထဲအပြင် Office Recent File ထဲမှာပါ LNK File တွေကိုတွေ့ရမှာဖြစ်ပါတယ်။ Office Recent File ထဲမှာရှိတဲ့ LNK File က Recent Folder ထဲမှာရှိတဲ့ LNK File ထက် Information ပိုပြီးစုံချင်ပါတယ်။  (FTK Imager Time = UTC Time)