Чем являются данные объекты?
LNK-файлы — файлы ярлыков, которые ссылаются на приложения или файлы в системе. Обычно находятся на рабочем столе. Являются достаточно ценными для специалиста при проведении криминалистического исследования, поскольку позволяют установить активность злоумышленника в системе. Такие файлы могут быть созданы как пользователем, например, при открытии документа, так и автоматически самой операционной системой Windows. Каждый ярлык содержит в себе сведения, позволяющие получить важную информацию о ПО даже после удаления программы с компьютера. То есть, если оригинальные файлы программ были удалены, по LNK-файлам допускается установление факта их ранней инсталляции.
В LNK содержатся данные о файлах, на которые указывают ярлыки, такие как:
путь к каталогу, в котором находится указываемый файл;
временные отметки как на ярлык, так и на оригинальный файл;
размер основного файла;
атрибуты файла (например, только для чтения, спрятано, архивный и т.д.);
системное наименование, название тома, серийный номер тома, MAC-адреса.
С помощью упомянутых сведений эксперт может проанализировать действия, происходящие на исследуемой системе, включая:
изучение следов подключения USB-устройств для идентификации файлов, открытых с них, и не сохраненных на жестком диске самого компьютера;
исследование файлов, что были сохранены в локальной системе или в сетевом хранилище;
обнаружение файлов, уже не находящихся в системе, представленной на экспертизу.
Где располагаются?
В зависимости от версии операционной системы Windows расположение LNK-файлов различается.
В Windows XP:
Локальный диск Documents and Settings <Имя пользователя> Recent;
Локальный диск Documents and Settings <Имя пользователя> Application Data Microsoft Office Recent.
В Windows Vista, Windows 7-11:
Локальный диск Users <Имя пользователя> AppData Roaming Microsoft Windows Recent.
Киберпреступления с помощью ярлыков?
LNK-файлы являются довольно специфическими объектами. Злоумышленники могут их для атак на жертв: в ярлык внедряют вредоносный код, который активируется при запуске файла и заражает компьютер. Это позволяет получать доступ к данным на жестком диске, удаленно запускать другие программы или код. Рассматриваемые угрозы могут быть созданы с помощью обычных скриптов. Например, используя командную строку PowerShell в Windows, которая, к тому же, представляет собой язык данных скриптов. Поскольку PowerShell работает незаметно в фоновом режиме, злоумышленникам предоставляется прекрасная возможность для вставки вредоносного кода. Как это работает: преступник использует PowerShell, внедряет вирус в LNK, а далее осуществляет рассылку по электронной почте. Ничего не подозревающая жертва открывает письмо, видит в нём файл, запускает его, и буквально через секунду система уже заражена. Сценарий активно практиковался в начале , однако и сейчас LNK-файлы продолжают использовать в противоправных действиях.
Следствие вели...
Если необходимо исследовать LNK-файлы, нужно специализированное средство, например «Мобильный Криминалист Enterprise». Воспользуемся им для изучения образа с LNK-файлами с названием Forensic_image_LNK в формате .zip.
Откроем его в «Мобильном Криминалисте» для проведения анализа.
Как показано выше, мы обнаружили множество данных LNK-файлов в образе. Всего — 243. Проанализируем получившийся результат на примере первого файла в списке — Dropbox.
Два самых важных атрибута, содержащих сведения для размышления — путь к ярлыку и путь к исходному файлу.
Благодаря первому с помощью «МК» получены сведения о находящемся в системе конкретном ярлыке, а второму — об оригинальном файле, на который он указывает, а именно Dropbox.
Среди атрибутов выделяются относительный путь, а также временные отметки. Анализируя относительный путь, важно знать, что он не включает одно или несколько имен родительских папок, начиная с корня диска, а заменяет их либо обозначением (двумя точками), либо ссылаясь на файлы внутри текущего каталога.
Временные отметки же позволяют провести диагностический анализ: установить время создания файла, время последнего изменения файла, время последнего доступа к файлу.
Установление времени — одно из важнейших составляющих в криминалистическом исследовании, однако не всегда оно поддается верной интерпретации, поскольку злоумышленник мог изменить системное время. Поэтому необходимо тщательно анализировать временные отметки, имеющиеся в файле. Так, нельзя однозначно утверждать, что указанное время создания файла это именно «то самое время», в которое он был создан. То же касается и времени последнего доступа к файлу, когда он непосредственно был открыт без внесения изменений, и времени последнего изменения файла. Криминалистическое исследование времени, так называемое «Timeline Analysis» — сложная область цифровой криминалистики, где специалисту необходимо проводить глубокое изучение множества данных системы преступника или потерпевшего для дачи категорического утвердительного ответа.
Помимо этого, возможно извлечь из LNK-файлов серийный номер тома, размер файла, исходный ID тома и текущий ID тома.
Серийный номер тома — раздел локального диска, на котором находится файл. Размер ярлыка в основном указывается в килобайтах. Исходный ID тома — локальный диск, на котором был создан исследуемый файл, а текущий ID тома — место его нахождения сейчас. ID могут как совпадать (если файл не был перенесен между локальными дисками), так и различаться (если файл был перенесен).
Также можно получить из исследуемого образа такие атрибуты LNK-файла, как:
исходный ID файла.
текущий ID файла.
Под исходным ID файла понимается его изначальный идентификатор, а под текущим — текущий. Идентификатор — некое уникальное значение, которое однозначно позволяет отождествить объект в целях сравнительного или иного исследования.
Файлы могут быть зашифрованы, повреждены, изменены, удалены и т.д., из-за чего их будет просто не открыть стандартными средствами. При изменении, например, возможно переделать заголовок файла, и тогда его текущий ID будет отличаться от исходного. В цифровой криминалистике важно знать всё, чтобы установить истину по конкретному делу.
И последние атрибуты, доступные для анализа в «МК»:
MAC-адрес;
поставщик MAC-адреса;
имя протокола NetBIOS;
служебная папка;
атрибуты файла;
тип хранилища.
MAC-адрес (Media Access Control Address) представляет собой уникальный идентификатор сетевого адаптера. Известен также как физический адрес. «МК Enterprise» определяет не только сам MAC-адрес, но и его поставщика, как указано выше. Сведения о MAC-адресе позволяют идентифицировать сетевое устройство, ранее использованное в системе.
NetBIOS (Network Basic Input / Output System) — протокол, позволяющий работать в локальных сетях. В настоящее время также используется поверх разных протоколов: NetBEUI, IPX, TCP/IP. Упоминая данный атрибут, важно отметить, что имя компьютера, которое назначается ОС Windows во время ее установки в действительности является именем NetBIOS так же, как и имена доменов и рабочих групп. То есть, анализируя NetBIOS, сведения о котором содержатся в LNK-файле, можно получить дополнительные сведения о компьютере пользователя. Помимо этого, с помощью него можно определить являлась ли рабочая станция виртуальной (виртуальная машина), либо же физической (реальной).
Служебная папка — системный каталог. На скриншоте выше — «This PC». В ОС Windows 10 она является служебным каталогом, в котором находятся другие каталоги: Рабочий стол (Desktop), Загрузки (Downloads), Музыка (Music) и др.
В «MK Enterprise» отображаются атрибуты файла, являющиеся значениями метаданных, хранящихся в файловой системе на диске и использующихся системой. Атрибут файла может принимать любое значение: сжатый (compressed), архивный (archive), зашифрованный (encrypted), спрятанный (hidden) и др. В данном случае атрибут LNK-файла, Directory, определяет каталог.
Тип хранилища — соответственно, то, где находится LNK-файл. В приведенном примере это жесткий диск.
Как видно, LNK-файлы содержат внушительное количество сведений, по которым можно проанализировать информационную среду, в которой они находились до/при совершении противоправного деяния. Вследствие существенного наличия криминалистически важных данных, LNK-файлы и являются настолько ценными при расследовании инцидентов, связанных с ними. С помощью специализированного программного решения возможно проводить их детальный и эффективный анализ. Поскольку Windows самая используемая в мире ОС, разработка методов и средств получения информации из таких объектов — приоритетная задача, которой нельзя пренебрегать. В противном случае, преступления в сфере ИТ могут оставаться нераскрытыми.
