Useimmat tietokoneen käyttäjät tietävät, että tietyt tietokoneesi sijainnit voivat tallentaa tietoja tekemästäsi. Selaimen historia on yksi alue, jonka kaikki tietävät voivat tallentaa tietokone- ja henkilökohtaisia tietoja. Windowsissa on muita vähemmän tunnettuja paikkoja, jotka voivat tallentaa tietoja, joita et välttämättä odota. Joitakin käytetään etsittäessä rikosteknistä tietoa ja määritettäessä tiettyjen tiedostojen historiaa. Yksi näistä alueista on nöyrä Windows .LNK-pikavalintotiedosto.
Sen edessä yksinkertainen pikakuvake on pieni tiedosto, joka osoittaa toiseen tiedostoon, kuten suoritettavaan tiedostoon ohjelman käynnistämiseksi työpöydältä. Jotkut yksityiskohdat pikakuvakkeesta saat napsauttamalla sitä hiiren kakkospainikkeella ja napsauttamalla Ominaisuudet. Pikakuvake-välilehti näyttää esimerkiksi kohdetiedoston sijaintipaikan, kun taas Tiedot-välilehti näyttää päiväyksen, jolloin pikakuvaus luotiin. Tavallisessa pikakuvakkeessa on kuitenkin paljon enemmän kuin luulisi.
Oikeastaan kaikki .LNK-pikakuvakkeet sisältävät suuria määriä tietoja, jotka tunnistavat tietokoneen, jolle ne on luotu, sekä sen tietokoneen, jolla ne ovat tällä hetkellä. Esimerkiksi tiedostodatan sisällä verkkoadapterin MAC-osoite ja alkuperäisen tietokoneen nimi on tallennettu käytettyjen verkkoreittien kanssa. Jopa sen aseman etiketti, tyyppi ja sarjanumero, johon se on luotu, ovat näkyvissä. Löytyneistä ajoista ja päivämääristä on myös paljon enemmän tietoa.
Jos haluat tarkastella, mitä tietoja pikakuvakkeisiin tallennetaan, tarvitset kolmannen osapuolen työkalun dekoodaamaan tiedot, koska jotain heksaeditorista näyttää vain enimmäkseen roskaa. Tässä on 5 ilmaista työkalua, joita voit kokeilla. 1. Lnkanalyser
Helppokäyttöisyyden kannalta Lnkanalyser on suunnilleen yhtä yksinkertainen kuin komentorivityökalu. Tiedoston Resurssien Tiedot-välilehden yläpuolella näkyvien tietojen määrä on melko kohtuullinen, vaikka jotkut muut tässä luetellut työkalut voivat näyttää enemmän. Ainoa tarvittava argumentti on toimittaa .LNK-tiedoston polku ja tiedostonimi.
lnkanalyser -i [polku \] oikotie.lnk
Normaalit tiedot pikakuvakkeen poluista ja päivämääristä / aikoista sekä tiedosto, johon se viittaa, näytetään. Lisäksi voit tarkastella normaalisti piilotettuja tietoja, kuten alkuperäisiä aikaleimoja, pikakuvakkeen luomisen nimi, sarjanumero ja aseman tyyppi, sen tietokoneen nimi, johon se luotiin, verkkopolku / nimi ja myös MAC-osoite. alkuperäisen tietokoneen verkkosovitin.
Lataa lnkanalyser
2. Windows File Analyzer
Kuten nimestä voi päätellä, Windows File Analyzer on omistettu työkalu kaikenlaisten tietojen keräämiseen tietokoneesi tietyistä tiedostoista. Se sisältää pienoiskuvat, Windows Prefetch-tiedostot, Index.DAT-tiedostot, Roskakoritiedostot ja lnk-pikakuvakkeet. Ohjelma on useita välilehtiä, joten sinulla voi olla useita analysointiprosesseja auki kerralla. Se on myös kannettava itsenäinen suoritettava.
Napsauta vihreää / keltaista painiketta tai Tiedosto-valikon vaihtoehtoa analysoidaksesi joitain pikakuvakkeita, etsiä kansiota ja luettelo kaikista .LNK-pikavalinnoista tulee näkyviin. Ikkuna antaa standarditiedot, kuten luodut, kirjoitetut ja käsitellyt päivämäärät sekä edistyneemmät tiedot, kuten kiintolevyn nimi ja sarjanumero, tietokoneen nimi ja verkkokortin MAC-osoite. Kaksoisnapsauta saadaksesi samat tiedot ruutuun. Napsauttamalla laajentaa merkintää voidaan antaa myös luontipäivämäärät kaikille tiedostopolun kansioille. Raportit voidaan tulostaa, mutta niitä ei voida tallentaa suoraan tiedostoon.
Lataa Windows File Analyzer
3. LECmd
Vaikka LECmd on komentorivityökalu, se vaatii .NET Framework 4.6: n toiminnan, joten kaikkien muiden kuin Windows 10 -käyttäjien on asennettava se. Työkalulla ei ole liian paljon argumentteja, ja voit tarkastella käytettävissä olevia kirjoittamalla lecmd.exe komentoriville. Jos haluat saada tietoja yhdestä .LNK-tiedostosta, käsittele tiedostohakemisto painikkeilla -f tai -d.
lecmd -f [polku \] oikotie.lnk
lecmd -d polku
LECmd: llä on kyky tuottaa tiedot suoraan CSV-, XML-, HTML- tai JSON-tiedostoihin. Syötä yksi tai useampi argumentti - [html / csv / xml / json] ja kohdehakemisto kunkin tiedoston tallentamiseksi. Lisää -q suurelle kansialle, joka on täynnä pikakuvakkeita ohittaaksesi tulostuksen konsoliin ja vähentääksesi käsittelyaikaa.
lecmd -d [polku] --html C: \ html --xml C: \ xml --csv C: \ csv -q
Tulos on yksityiskohtainen ja näyttää joitain melko edistyneitä tietoja, kuten polku- ja tiedostoyhteydet sekä luodut päivämäärät, kuvakehakemiston ja ikkunatiedot, kiintolevyn tyyppi / sarja / tarra, verkon jakotiedot, koneen tunnus, MAC-osoite ja verkkosovittimen toimittaja.
Lataa LECmd
4. Linkki jäsentäjä
Link Parser on suorittanut oikeuslääketiede ja tietoturvayritys 4Discovery. Se on yksinkertainen ja täysin kannettava työkalu lukea huomattava määrä tietoa lnk-pikavalintotiedostosta. Kaikki kerätyt tiedot voidaan tallentaa CSV-tiedostoon tulevaa käyttöä varten. Yksi ongelma, jonka kohtaisimme Link Parser -sovellusta käytettäessä, oli tiedostojen avausvaihtoehdon toimimattomuus, joten kansion avaaminen on tehtävä sen sijaan.
Kun olet avannut kansion, joka sisältää joitain .LNK-pikavalintotiedostoja, saat melko vähän tietoa luettavaksi. Kaikki nykyiset ja alkuperäiset tiedostojen luontipäivämäärät ja -ajat ovat saatavana hyödyllisten tietojen kanssa, kuten alkuperäisen aseman tyyppi, aseman nimi, aseman sarjanumero, verkon nimi, suhteellinen polku ja tietokoneen nimi. Mielenkiintoista on, että Link Parser näyttää nykyisen VolumeID-, ObjectID- ja MAC-osoitteen sekä arvot myös tiedoston luomisen yhteydessä. Huomaa, että joudut sulkemaan ja avaamaan ohjelman uudelleen, jotta tiedot tyhjennetään ikkunasta.
Lataa Link Parser
5. LNK Parser
LNK Parser on toinen komentorivityökalu, mutta sitä voidaan käyttää myös kirjoittamatta käskyjä manuaalisesti. Voit tehdä tämän kaksoisnapsauttamalla suoritettavaa LNK Parser -sovellusta, pudottamalla .LNK-pikakuvakkeen tai kansion ikkunaan. Luo valinnaisesti raportti (kirjoita polku, jos valitsit raportin luomisen), vastaa muutamiin yksinkertaisiin kysymyksiin ja paina Y tai N, jos haluat tulosteen lähettää konsoli-ikkunaan. Saat myös samat vaiheet kirjoittamalla lnk_parser_cmd suoraan komentokehotteeseen ilman argumentteja.
Komentorivivalinnat ovat periaatteessa samoja manuaalisia argumentteja ohjatun toiminnon vaiheille.
lnk_parser_cmd -o [tallenna raporttipolku] -w (html-raportti) -c (csv-raportti) polku [\ shortcut.lnk]
Tietomäärä on samanlainen kuin muut täällä olevat työkalut ja saat perustiedot sekä piilotetut tiedot. Tämä sisältää lähdeaseman tiedot, NetBIOS-nimen, MAC-osoitteen, kansiopolun määritteet luotujen ja käytettyjen päiväysten / aikojen kanssa sekä kaikki kansion tunnistetiedot.
Lataa LNK Parser
6. LNK-tiedoston esikatselu
LNK File Previewer on ilmainen versio työkalusta, joka on otettu kaupallisesta rikosteknisestä ohjelmistosta Simple Carver Suite. Ohjelma on hieman vanha, vuodelta 2008, mutta näyttää toimivan hyvin. Yksi vähäinen ongelma on, että kansion kaikki tiedostot näytetään käyttöliittymässä, ja jos ne eivät ole .LNK-pikakuvakkeet näytetään vain virheellisinä tiedostoina. LNK File Previewer on kannettava, mutta se on RAR-arkistossa, joten tarvitset jotain 7-Zip- tai WinRAR-tiedostoa sen purkamiseksi.
Jos haluat lukea kansion kaikkien pikakuvakkeiden tiedot, siirry kohtaan Prosessi> Kansio ja etsi kohdepaikka. Ennen tätä poista valinnaisesti Resurse Sub-Folders -ikkuna ikkunan alareunassa, jotta et mene alas tiedostoja etsiviin kerroksiin. Näytettyjen tietojen määrä ei ole yhtä suuri kuin joissakin työkaluissa, mutta saat silti hyödyllisiä tietoja, kuten MAC-osoitteen, tietokoneen nimen, verkkopolun, kiintolevyn tyypin, sarjan ja nimen, sekä muutaman hyödyllisen päivämäärän. Napsauttamalla merkintää näkyvät alla olevat perustiedot. Kaikkien käsiteltyjen tiedostojen kaikki tiedot voidaan viedä CSV-tiedostoon.
Lataa LNK-tiedoston esikatselu
Vinkki: Jos jokin komentorivityökaluista tarjoaa sinulle parempia tietoja, mutta et todellakaan halua käyttää komentoriviä joka kerta käyttää sitä, on olemassa yksinkertainen ratkaisu. Luo pieni eräntiedosto ja pudota pikakuvake .BAT-tiedostokuvakkeen päälle. Lisävalintana avaa tulokset automaattisesti Muistiossa. Esimerkiksi Lnkanalyserillä voit luoda jotain tällaista:
@echo pois
lnkanalyser -i% ~ 1>% temp% \ lnkfile.txt
Muistio% temp% \ lnkfile.txt
Tallenna tiedosto eränimellä.BAT ja pudota pikakuvake siihen. Tulokset tulostetaan TEMP-kansion tiedostoon lnkfile.txt ja Notepad avaa sitten tekstitiedoston. Voit tietysti lähettää tulokset ohjelman sisällä olevaan CSV- tai HTML-tiedostoon muistikirjan avaamisen sijasta. Yksinkertainen mutta tehokas.
