728x90
바로가기(LNK)
Windows Shortcut
.lnk 확장자
원본파일 경로 포함
생성방법
- 사용자가 직접 생성 (우클릭 바로가기 만들기)
- 프로그램 설치 시 생성(설치 시 체크)
- 운영체제가 자동으로 생성(정상적으로 사용하는 과정에서)
바로가기 파일이 생성되는 경로
바탕 화면
일반적인 사용자들이 바탕화면에 생성해서 많이 사용
설치하는 과정에서 바탕화면에 추가
- %UserProfile%\Desktop
시작 메뉴
- %ProgramData%\Microsoft\Windows\Start Menu
- %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu
최근 실행
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
빠른 실행
- %ProgramData%\Microsoft\Internet Explorer\Quick Launch
- %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
- %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
*UserPinned → 작업 표시줄에 고정했을 때
실습
실행 결과
밑은 디스크 쪽 내용까지 볼 수 있다
- 나중에 구조 부분 공부 추가하기
포렌식적 의미
어떤 볼륨에 존재했던 파일인지 알 수 있다.
볼륨정보, 네트워크 공유 정보, 원본 위치, 시스템 이름, timestamp도 중요하다 → 사용자 행적 추적(원본 파일 추적 가능)
reference
728x90
'Forensics > 윈도우 아티팩트' 카테고리의 다른 글
| [Windows Forensic Artifacts - 6] AmCache & ShimCache (0) | 2023.03.12 |
|---|---|
| [Windows Forensic Artifacts - 5] MUICache (0) | 2023.03.12 |
| [Windows Forensic Artifacts - 4] Jumplist (0) | 2023.01.10 |
| [Windows Forensic Artifacts - 2] Prefetch (0) | 2022.04.03 |
| [Windows Forensic Artifacts - 1] Event Log (0) | 2022.04.01 |
댓글