[Digital Forensic] LNK Parser

Link Parser

- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182

* LNK 파일
- Windows에서 .lnk는 흔히 바로 가기 파일의 확장자이며, 원본 파일에 대한 포인터(링크)로 연결 대상을 실행시키는 파일
- 바로가기 파일이지만, 원본 파일의 경로, 생성 시간 등의 추가적인 정보를 다수 포함하고 있는 점에서 Forensic 과정에서 유의미한 정보를 확인할 수 있는 경우가 많다.

 

 

* LNK Parser
- 링크 파일은 일반적으로 속성을 눌러서 확인하면 가독성이 너무나 떨어진다. 그리고 여러 링크 파일을 동시에 확인하기 난감하기도 하여 별도 Link Parser라는 툴을 사용하는 것을 권장한다

일반적인 바로가기 파일 속성 확인

- LNK Parser는 DFRC(Digital Forensic Research Center)에서 개발하여 사용되는 공인된 도구로 믿고 사용할 수 있는 툴이다.

LNK Parser로 확인한 .lnk 파일에서 확인할 수 있는 정보

- 원본 파일과 .lnk 파일의 속성 정보를 다수 출력해 주며 특히 경로와 시간 정보는 분석에서 매우 유용하게 사용된다
- 사용법 자체는 어렵지 않다. .lnk 파일을 직접 불러오거나, .lnk 파일들을 모아놓은 폴더를 지정하면 모두 불러와 진다
- 특히 포렌식 실기 시험 상, 보고서 작성 시, 해당 정보를 통해 MAC Time, 경로 등의 내용을 작성해주는 경우가 종종 생기는데, 이 경우 Excel로 Export 하여 사용할 수도 있으니 상당히 편하다.
- 정보 중, Drive Type은 정보가 정확하지 않을 수 있으니, 참고만 하며 REGA 등 다른 툴에서 추가적으로 크로스 체크하는 방식을 권장함

 

 

- 사실 Link Parser는 설명할 부분이 거의 없다
- 단, 워낙에 포렌식 과정에서 필요한 정보들을 많이 내포하기 떄문에 중요도는 말할 것이 없기 때문에 해당 툴은 존재만 알더라도 한번만 사용하면 누구든 쓸 수 있는 수준이다.
- 많은 분들이 이점 감안하여 실무나 시험에 사용하면 좋겠다