1. No category

別紙 マインドマップ 7.LNKファイル

7.LNKファイル(Rev.20160527)
10.1 Windows Shortcut
10 タイムライン(Plaso)
10.2 File entry shell item
9.1 エクスプローラ⇒クイック アクセス
8.1
1 Windows ショートカットファイル
9 Windows 10
2.1 アプリケーションのインストール(痕跡)、日時
[MS-SHLLINK]: Shell Link (.LNK) Binary File Format
https://msdn.microsoft.com/en-us/library/dd871305.aspx
Windows Shortcut File format specification
8.2 https://github.com/libyal/liblnk/blob/master/documentation/Windows%20Shortcut
%20File%20(LNK)%20format.asciidoc
2.2 ファイル・フォルダへの参照
2.3 ファイルのオープン
8 ファイルフォーマット
2 何が分かる?(例)
2.4 共有フォルダ上ファイルのオープン
2.5 USBメモリなど外付けデバイスの利用
8.3 Jumpリスト
2.6 NTFSボリューム間のファイル移動
2.7 ネットワークドライブからのファイル移動
0x0000004c
7.1 シグネチャ
GUID: {00021401-0000-0000-c000-000000000046}
7 削除されたLNKファイルのカービング
3.1 ターゲット 属性
7.2 BulkExtractor
3.2 ターゲット ファイルサイズ
LNK
NoRecentDocsHistory = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer
(
)
3.3 ターゲットファイルのタイムスタンプ
6 LNKファイルが存在しない
6.1 レジストリにて無効化
作成日時
アクセス日時
更新日時
オフセット28
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer
3.4 ボリュームタイプ
3.6 ボリューム名
5.3 X-Way Forensics
3.7 ローカルパス
5.4 fte
3.8 相対パス
5 可視化ツール
3.9 作業フォルダ
010 Editor template file for the .LNK binary file format.
5.5
http://blog.didierstevens.com/2010/08/08/quickpost-2-lnk-tools/
5.6
DRIVE_REMOVABLE
固定ディスク
DRIVE_FIXED
3.5 ボリュームシリアル番号
5.1 liblnk
5.2 TZworks lp
ObjectID Artifact
http://www.kazamiya.net/fte/objid
USBメモリ等
4.2 C:\Users\<ユーザー名>\AppData\Roaming\Microsoft\Office\Recent
例)C:\Users\Example\Documents\example.docx
例)..\..\..\..\..\Documents\example.docx
例)C:\Users\example\Documents
3.10 ホスト名(NetBIOS名)
例)Hostname
3.11 ターゲットファイルのMFTエントリ
Windows File Analyzer
http://www.mitec.cz/wfa.html
4.1 C:\Users\<ユーザー名>\AppData\Roaming\Microsoft\Windows\Recent
例)0x6EAFE0D2
例)OS
3 保存しているデータ
3.12 ネットワーク共有名
3.13 ドライブレター
3.14 MACアドレス
4 Recent
3.15 ボリュームID
例)\\Servername\Sharefolder
例)X:
例)00 50 56 C0 00 08
例){CD391D7C-9402-419E-A307-B68569D71F6A}
NTFS
属性
$OBJECT_ID (0x40)
Droid volume identifier
GUID containing an NTFS object identifier
3.16 ObjectID
Droid file identifier
GUID containing an NTFS object identifier
Birth droid volume identifier
GUID containing an NTFS object identifier
Birth droid file identifier
GUID containing an NTFS object identifier
3.17 ObjectID タイムスタンプ
作成日時
3.18 Shell Item
ターゲットのタイムスタンプ
FAT形式日時(UTC)
アクセス日時
更新日時
3.19 PropertyStoreDataBlock
Copyright © LAC Co., Ltd. All Rights Reserved.

 Download  Report

expydoc.com

Your ExpyDoc

© Copyright 2024 ExpyDoc