De flesta datoranvändare vet att vissa platser på din dator kan lagra information om vad du har gjort. Webbläsarhistorik är ett område som alla vet kan lagra dator- och personuppgifter. I Windows finns det andra mindre kända platser som kan spela in information som du inte nödvändigtvis skulle förvänta dig. Vissa används när man letar efter kriminaltekniska data och bestämmer historiken för vissa filer. Ett av dessa områden är den ödmjuka Windows .LNK-genvägsfilen.
I motsats till detta är en enkel genväg en liten fil som pekar på en annan fil, till exempel en körbar för att starta ett program från skrivbordet. Vissa detaljer om genvägen kan du få genom att högerklicka på den och klicka på Egenskaper. Fliken Genväg visar saker som målfilen finns medan fliken Detaljer visar datumet när genvägen skapades. Men det finns mycket mer till en standardgenväg än du kanske tror.
Egentligen innehåller alla .LNK-genvägsfiler stora mängder data som identifierar datorn som de skapades såväl som den dator de för närvarande är på. Till exempel lagras nätverkskortets MAC-adress och namnet på den ursprungliga datorn inuti fildata tillsammans med alla använda nätverksvägar. Även etiketten, typen och serienumret på den enhet som den skapades på är synlig. Det finns också mycket mer information om tider och datum som finns.
Om du vill titta på vilken information som lagras i dina genvägar behöver du ett tredjepartsverktyg för att avkoda den informationen som något som en hex-redigerare bara visar mestadels gibberish. Här är fem gratis verktyg som du kan prova. 1. Lnkanalyser
När det gäller användarvänlighet är Lnkanalyser ungefär så enkelt som det blir för ett kommandoradsverktyg. Mängden information som visas utöver fliken Detaljer i File Explorer är ganska rimlig även om vissa andra verktyg som listas här kan visa mer. Det enda argumentet som behövs är att ange sökvägen och filnamnet för .LNK-filen.
lnkanalyser -i [path \] genväg.lnk
Normal information för sökvägarna och datum / tider för genvägen och filen den refererar till visas. Dessutom kan du visa normalt dolda detaljer som ursprungliga tidsstämplar, namn, serienummer och typ av enhet som genvägen skapades på, namnet på datorn den skapades på, nätverksväg / namn och även MAC-adressen till nätverkskort på den ursprungliga datorn.
Ladda ner lnkanalyser
2. Windows File Analyzer
Som namnet antyder är Windows File Analyzer ett särskilt verktyg för att samla in alla typer av information om specifika filer på din dator. Det inkluderar miniatyrbilder, Windows Prefetch-filer, Index.DAT-filer, papperskorgsfiler och lnk-genvägar. Programmet har flera flikar så att du kan ha flera analysprocesser öppna samtidigt. Det är också en bärbar fristående körbar.
Klicka på den gröna / gula knappen eller alternativet i Arkiv-menyn för att analysera några genvägar, bläddra efter mappen och en lista över alla .LNK-genvägar visas. Fönstret ger standarddetaljer som skapade, skrivna och åtkomna datum tillsammans med mer avancerade data som hårddisknamn och seriell, datornamn och nätverkskort MAC-adress. Dubbelklicka för att få samma information i en ruta. Om du klickar för att utöka posten kan det också skapas datum för alla mappar i sökvägen till filen. Rapporter kan skrivas ut men inte sparas direkt i en fil.
Ladda ner Windows File Analyzer
3. LECmd
Även om LECmd är ett kommandoradsverktyg kräver det. NET Framework 4.6 för att fungera, så alla andra än Windows 10-användare måste ha installerat det. Verktyget har inte för många argument och du kan se vad som är tillgängligt genom att bara skriva lecmd.exe i kommandotolken. För att få data för en enda .LNK-fil använder du -f eller -d för att bearbeta en katalog med filer.
lecmd -f [path \] genväg.lnk
lecmd -d sökväg
LECmd har förmågan att mata ut informationen direkt till en CSV-, XML-, HTML- eller JSON-fil. Ange ett eller flera av argumenten - [html / csv / xml / json] och målkatalogen för att spara varje fil. Lägg till -q för en stor mapp full av genvägar för att hoppa över utgången till konsolen och minska behandlingstiden.
lecmd -d [sökväg] --html C: \ html --xml C: \ xml --csv C: \ csv -q
Utgången är detaljerad och visar en del ganska avancerad information som sökväg och fil åtkomna och skapade datum, ikonindex och fönsterinformation, hårddiskstyp / seriell / etikett, nätverksdelningsinformation, maskin-ID, MAC-adress och leverantör av nätverksadapter.
Ladda ner LECmd
4. Länk Parser
Link Parser är av kriminalteknik och säkerhetsföretag 4Discovery. Det är ett enkelt och helt bärbart verktyg för att läsa en betydande mängd information från en lnk-genvägsfil. All insamlad information kan sparas i CSV-fil för framtida användning. Ett problem som vi stötte på när vi använder Link Parser var alternativet filöppning verkade inte fungera, så att öppna en mapp måste användas istället.
När du har öppnat en mapp som innehåller några .LNK-genvägsfiler får du en hel del information att läsa. Alla nuvarande och ursprungliga datum och tider för skapande av filer är tillgängliga tillsammans med användbar data som original enhetstyp, enhetsnamn, enhetens serienummer, nätverksnamn, relativ väg och datornamn Intressant nog visar Link Parser aktuell VolumeID, ObjectID och MAC-adress och även de värden när filen skapades. Observera att du måste stänga och öppna programmet igen för att rensa data från fönstret.
Ladda ner Link Parser
5. LNK Parser
LNK Parser är ett annat kommandoradsverktyg men det kan också användas utan att manuellt skriva kommandon. För att göra det dubbelklickar du på den körbara LNK Parser, släpp en .LNK-genväg eller -mapp i fönstret. Generera eventuellt en rapport (ange sökvägen om du valt att generera en rapport), svara på några enkla frågor och tryck på Y eller N om du vill att utskriften ska skickas till konsolfönstret. Du får också samma steg genom att skriva lnk_parser_cmd direkt i kommandotolken utan argument.
Kommandoradsalternativen är i princip samma manuella argument för guiden steg.
lnk_parser_cmd -o [spara rapportväg] -w (html-rapport) -c (csv-rapport) sökväg [\ genväg.lnk]
Mängden information liknar andra verktyg här och du får mer basdata och dolda data. Detta inkluderar information om källenhet, NetBIOS-namn, MAC-adress, mappvägsattribut med skapade och åtkomna datum / tider och alla mapp-ID-data.
Ladda ner LNK Parser
6. LNK File Previewer
LNK File Previewer är en freeware-version av verktyget hämtat från den kommersiella forensiska mjukvaran Simple Carver Suite. Programmet är lite gammalt nu från 2008 men verkar fungera bra. Ett mindre problem är att alla filer i en mapp visas i användargränssnittet och om de inte är. LNK-genvägar visas bara som en ogiltig fil. LNK File Previewer är bärbar men finns i ett RAR-arkiv så att du behöver något som 7-Zip eller WinRAR för att packa upp det.
För att läsa data för alla genvägar i en mapp, gå till Process> Mapp och hitta målplatsen. Innan det, avmarkera eventuellt Recurse Sub-Folders längst ner i fönstret för att inte gå ner i lager och leta efter filer. Mängden data som visas är inte lika mycket som vissa verktyg men du får fortfarande användbara detaljer som MAC-adress, datornamn, nätverksväg, hårddisktyp, seriell och namn och några användbara datum. Klicka på en post visar de grundläggande detaljerna nedan. All information för alla bearbetade filer kan exporteras till CSV-fil.
Ladda ner LNK File Previewer
Tips: Om ett av kommandoradsverktygen ger dig bättre information men du inte riktigt gillar att använda kommandotolken varje gång för att använda den, finns det en enkel lösning. Skapa en liten batchfil och släpp genvägen till .BAT-filikonen. Som ett tilläggsalternativ öppnar du resultaten automatiskt i Notepad. Med Lnkanalyser kan du till exempel skapa något liknande:
@echo off
lnkanalyser -i% ~ 1>% temp% \ lnkfile.txt
Anteckningsblock% temp% \ lnkfile.txt
Spara filen som batchname.BAT och släpp en genväg på den. Resultaten kommer att matas ut till lnkfile.txt i TEMP-mappen och sedan kommer Notepad att öppna textfilen. Du kan naturligtvis skicka resultaten till en CSV- eller HTML-fil i programmet istället för att öppna Notepad. Enkel men effektiv.
