分析windows構造關聯用戶搜索的LNK文件

這篇文章主要講解了“分析windows構造關聯用戶搜索的LNK文件”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“分析windows構造關聯用戶搜索的LNK文件”吧！

Windows LNK格式

.lnk后綴是Windows中的一種文件格式，這種代碼格式文件包含的信息可以用來訪問Windows Shell中的其他數據對象。

LNK快捷方式文件時一種Shell Item類型，當用戶通過一個支持的應用程序訪問文件時，Windows操作系統將會自動創建LNK文件，不過用戶也可以手動創建。LNK快捷方式文件一般會包含關于訪問文件的元數據，其中包括文件名、文件大小、原始路徑、時間戳、卷宗、系統信息和網絡信息等。幸運的是，現在已經有工具可以解析這些文件了。在這篇文章中，我們將會使用Eric Zimmerman的LECmd來演示。

用戶搜索LNK文件

近期，Mandiant遇到了一種我們此前沒研究過的LNK文件格式，這種文件來自于Windows Server 2012 R2系統，文件路徑類似如下所示：

C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\passw.lnkC:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\gov.lnk

取證分析人員可以使用LNK快捷方式文件名來了解用戶曾打開過一個名為passw或gov的文件。接下來，他們就可以使用類似LECmd之類的工具來恢復出額外的元數據。這樣就可以獲取到被訪問文件的完整文件路徑、被訪問時間的時間戳以及其他類型的取證數據。

但是，之前的LNK文件并沒有暴露額外的元數據，下面顯示的是LECmd針對passw.lnk文件的分析輸出：

LECmd version 1.3.2.1Author: Eric Zimmerman (saericzimmerman@gmail.com)https://github.com/EricZimmerman/LECmd--- Header ---  Target created:  Target modified:  Target accessed:  File size: 0  Flags: HasTargetIdList, IsUnicode, DisableKnownFolderTracking  File attributes: 0  Icon index: 0  Show window: SwNormal (Activates and displays the window. The window is restored to its original size and position if the window is minimized or maximized.)--- Target ID information (Format: Type ==> Value) ---  Absolute path: Search Folder\passw  -Users property view ==> Search Folder  >> Property store (Format: GUID\ID Description ==> Value)     d5cdd505-2e9c-101b-9397-08002b2cf9ae\AutoList  ==> VT_STREAM not implemented (yet) See extension block section for contents for now     d5cdd505-2e9c-101b-9397-08002b2cf9ae\AutolistCacheTime  ==> 1849138729510     d5cdd505-2e9c-101b-9397-08002b2cf9ae\AutolistCacheKey  ==> Search Results in Local Disk (C:)0  -Variable: Users property view ==> passw  >> Property store (Format: GUID\ID Description ==> Value)     1e3ee840-bc2b-476c-8237-2acd1a839b22\2      (Description not available)         ==> VT_STREAM not implemented     1e3ee840-bc2b-476c-8237-2acd1a839b22\8      (Description not available)         ==> passw     28636aa6-953d-11d2-b5d6-00c04fd918d0\11     Item Type                           ==> Stack     28636aa6-953d-11d2-b5d6-00c04fd918d0\25     SFGAO Flags                         ==> 805306372     b725f130-47ef-101a-a5f1-02608c9eebac\10     Item Name Display                   ==> passw--- End Target ID information ------ Extra blocks information --->> Property store data block (Format: GUID\ID Description ==> Value)   (Property store is empty)

我們可以看到，在Target ID數據域中包含一些非常有意思的字符串，比如說“Search Folder\passw”和“Search Results in Local Disk (C:)”。為了方便對比，我們在下面的數據中標注了標準LNK快捷方式文件（測試文件）。需要注意的是，目標文件時間戳、文件大小、完整文件路徑和其他元數據。

LECmd version 1.3.2.1Author: Eric Zimmerman (saericzimmerman@gmail.com)https://github.com/EricZimmerman/LECmd--- Header ---  Target created:  2020-01-21 19:34:28  Target modified: 2020-01-21 19:34:28  Target accessed: 2020-01-22 21:25:12  File size: 4  Flags: HasTargetIdList, HasLinkInfo, HasRelativePath, HasWorkingDir, IsUnicode, DisableKnownFolderTracking  File attributes: FileAttributeArchive  Icon index: 0  Show window: SwNormal (Activates and displays the window. The window is restored to its original size and position if the window is minimized or maximized.)Relative Path: ..\..\..\..\..\Desktop\test.txtWorking Directory: C:\Users\<username>\Desktop--- Link information ---Flags: VolumeIdAndLocalBasePath>>Volume information  Drive type: Fixed storage media (Hard drive)  Serial number: <serial number>  Label: OSDisk  Local path: C:\Users\<username>\Desktop\test.txt--- Target ID information (Format: Type ==> Value) ---  Absolute path: My Computer\Desktop\test.txt  -Root folder: GUID ==> My Computer  -Root folder: GUID ==> Desktop  -File ==> test.txt    Short name: test.txt    Modified: 2020-01-21 19:34:30    Extension block count: 1    --------- Block 0 (Beef0004) ---------    Long name: test.txt    Created: 2020-01-21 19:34:30    Last access: 2020-01-21 19:34:32    MFT entry/sequence #: 108919/8 (0x1A977/0x8)--- End Target ID information ------ Extra blocks information --->> Tracker database block   Machine ID: <hostname>   MAC Address: <mac address>   MAC Vendor: INTEL   Creation: 2020-01-21 15:19:59   Volume Droid: <volume>   Volume Droid Birth: <volume>   File Droid: <file>   File Droid birth: <file>

幸運的是，在一次調查過程中，我們還解析了用戶的NTUSER.DAT注冊表文件，并查看了WorldWheelQuery鍵，其中包含了用戶資源管理器的詳細搜索歷史。passw.lnk文件突然就變得更加有意思了！下面給出的是這個注冊表鍵的解析條目：

wordwheelquery v.20100330(NTUSER.DAT) Gets contents of user's WordWheelQuery keySoftware\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQueryLastWrite Time Wed Nov 13 06:51:46 2019 (UTC) Searches listed in MRUListEx order14   Secret                         6    passw                         13   ccc                           12   bbb                           11   aaa                           10   *.cfg                         9    apple                         8    dni                           7    private                         4    gov                           5    air                           3    intelsat                      2    adhealthcheck                 1    *.ps1                         0    global

通過分析WorldWheelQuery注冊表鍵以及根據MRUListEx順序，我們發現了passw就是用戶資源管理器搜索記錄中的最近的第二個搜索條目。MRUListEx是一個注冊表鍵值，其中包含了用戶近期搜索項目的順序，也就是用戶在資源管理器中搜索內容的順序。passw還與之前一個包含了字符串“Search Results in Local Disk (C:)”的LNK文件相匹配，這也就意味著，這種LNK文件跟用戶資源管理器搜索結果有關，因此我們可以暫且將其稱之為“用戶搜索LNK文件”。

細微差別分析

通過在系統中查詢用戶資源管理器搜索歷史記錄中的條目，我們發現并非所有的搜索條目都有與之相對應的用戶搜索LNK文件。下面顯示的是其中部分LNK文件以及其對應的文件創建與修改時間戳，我們發現有15條搜索與WorldWheelQuery注冊表鍵有關，但是這里只有4個用戶搜索LNK文件。

2019-11-09 08:33:14    Created ModifiedC:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\gov.lnk2019-11-09 09:29:11    Created2019-11-09 09:29:37    ModifiedC:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\private.lnk2019-11-09 08:38:29    Created2019-11-13 06:47:56    ModifiedC:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\passw.lnk2019-11-13 06:57:03    Created2019-11-13 06:57:25    ModifiedC:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\Secret.lnk

除此之外，我們還發現了同一時間創建出的擁有類似文件名的LNK文件對，下面這兩個文件都是在2019-11-09 08:38:29 UTC創建的：

C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\passw.lnkC:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\password.lnk

進一步分析后我們發現，當用戶打開搜索結果所生成的其中一個文件后，系統將會根據資源管理器的搜索結果來創建一個用戶搜索LNK文件。如果用戶沒有打開搜索結果所返回的文件，那么用戶搜索LNK文件將不會被創建。

在這個樣例中，password.lnk文件包含了目標文件元數據，指向的文件為T:\ directory\password.txt。passw.lnk只包含了用戶搜索LNK文件的元數據，比如說Search Folder\passw的絕對路徑。

基于passw.lnk文件的創建與修改時間戳之間的差異，我們可以知道用戶搜索了passw，并在搜索結果中打開了這個文件：

2019-11-09 08:38:29    Created2019-11-13 06:47:56    ModifiedC:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\passw.lnk

第二次搜索passw的行為發生在2019年11月13日，這一次，用戶再次使用了Windows資源管理器的搜索功能來搜索passw，但是是在C:\盤驅動器根目錄下執行的搜索，并且在搜索結果中點擊了一個名為password2.txt的文件。LECmd對password2.lnk的解析結果如下：

LECmd version 1.3.2.1Author: Eric Zimmerman (saericzimmerman@gmail.com)https://github.com/EricZimmerman/LECmd--- Header ---  Target created:  2015-11-09 22:14:10  Target modified: 2010-01-11 16:57:11  Target accessed: 2015-11-09 22:14:10  File size: 19  Flags: HasTargetIdList, HasLinkInfo, HasRelativePath, HasWorkingDir, IsUnicode, DisableKnownFolderTracking  File attributes: FileAttributeArchive  Icon index: 0  Show window: SwNormal (Activates and displays the window. The window is restored to its original size and position if the window is minimized or maximized.)Relative Path: ..\..\..\..\..\..\..\<file path>\password2.txtWorking Directory: C:\<file path>--- Link information ---Flags: VolumeIdAndLocalBasePath, CommonNetworkRelativeLinkAndPathSuffix>>Volume information  Drive type: Fixed storage media (Hard drive)  Serial number: <serial number>  Label: (No label)  Network share information    Share name: \\<hostname>\<top level folder>    Provider type: <provider type>    Share flags: ValidNetType  Local path: C:\<top level folder>\  Common path: <file path>\password2.txt--- Target ID information (Format: Type ==> Value) ---  Absolute path: Search Folder\passw\password2  -Users property view ==> Search Folder  >> Property store (Format: GUID\ID Description ==> Value)     d5cdd505-2e9c-101b-9397-08002b2cf9ae\AutoList  ==> VT_STREAM not implemented (yet) See extension block section for contents for now     d5cdd505-2e9c-101b-9397-08002b2cf9ae\AutolistCacheTime  ==> 1849138729510     d5cdd505-2e9c-101b-9397-08002b2cf9ae\AutolistCacheKey  ==> Search Results in Local Disk (C:)0  -Variable: Users property view ==> passw  >> Property store (Format: GUID\ID Description ==> Value)     1e3ee840-bc2b-476c-8237-2acd1a839b22\2      (Description not available)         ==> VT_STREAM not implemented     1e3ee840-bc2b-476c-8237-2acd1a839b22\8      (Description not available)         ==> passw     28636aa6-953d-11d2-b5d6-00c04fd918d0\11     Item Type                           ==> Stack     28636aa6-953d-11d2-b5d6-00c04fd918d0\25     SFGAO Flags                         ==> 805306372     b725f130-47ef-101a-a5f1-02608c9eebac\10     Item Name Display                   ==> passw  -Variable: Users property view ==> password2  >> Property store (Format: GUID\ID Description ==> Value)     49691c90-7e17-101a-a91c-08002b2ecda9\3      Search Rank                         ==> 0     28636aa6-953d-11d2-b5d6-00c04fd918d0\25     SFGAO Flags                         ==> 1077936503     28636aa6-953d-11d2-b5d6-00c04fd918d0\32     Delegate ID List                    ==> VT_VECTOR data not implemented (yet) See extension block section for contents for now     28636aa6-953d-11d2-b5d6-00c04fd918d0\11     Item Type                           ==> .txt     28636aa6-953d-11d2-b5d6-00c04fd918d0\24     Parsing Name                        ==> password2.txt     446d16b1-8dad-4870-a748-402ea43d788c\100    Thumbnail Cache Id                  ==> 7524032674880659487     1e3ee840-bc2b-476c-8237-2acd1a839b22\12     (Description not available)         ==> Null     1e3ee840-bc2b-476c-8237-2acd1a839b22\20     (Description not available)         ==> 1     1e3ee840-bc2b-476c-8237-2acd1a839b22\3      (Description not available)         ==> document     1e3ee840-bc2b-476c-8237-2acd1a839b22\17     (Description not available)         ==> {1685D4AB-A51B-4AF1-A4E5-CEE87002431D}.Merge Any     1e3ee840-bc2b-476c-8237-2acd1a839b22\8      (Description not available)         ==> C:\<file path>\password2.txt     b725f130-47ef-101a-a5f1-02608c9eebac\4      Item Type Text                      ==> Text Document     b725f130-47ef-101a-a5f1-02608c9eebac\10     Item Name Display                   ==> password2     b725f130-47ef-101a-a5f1-02608c9eebac\12     Size                                ==> 19     b725f130-47ef-101a-a5f1-02608c9eebac\14     Date Modified                       ==> 01/11/2010 16:57:11     006fdbaa-864f-4d1c-a8e8-e62772e454fe\11     (Description not available)         ==> 59     006fdbaa-864f-4d1c-a8e8-e62772e454fe\13     (Description not available)         ==> 1077936423     cf5be8c0-236c-4ad3-bace-cd608a2748d7\100    (Description not available)         ==> True     e3e0584c-b788-4a5a-bb20-7f5a44c9acdd\6      Item Folder Path Display            ==> C:\<file path>--- End Target ID information ------ Extra blocks information --->> Property store data block (Format: GUID\ID Description ==> Value)   (Property store is empty)>> Tracker database block   Machine ID: <hostname>   MAC Address: <mac address>   MAC Vendor: VMWARE   Creation: 2019-11-13 04:29:24   Volume Droid: <volume>   Volume Droid Birth: <volume>   File Droid: <file>   File Droid birth: <file>這里的重點就在于，用戶搜索LNK文件只跟搜索詞相關，而與搜索上下文無關。

感謝各位的閱讀，以上就是“分析windows構造關聯用戶搜索的LNK文件”的內容了，經過本文的學習后，相信大家對分析windows構造關聯用戶搜索的LNK文件這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！