culhu

6 бесплатных инструментов для анализа файлов ярлыков Windows LNK

Большинство пользователей компьютеров знают, что определенные места на вашем компьютере могут хранить информацию о том, что вы сделали. История веб-браузера – это та область, в которой каждый может хранить компьютерные и личные данные. В Windows есть другие менее известные места, где можно записывать информацию, которую вы не ожидаете. Некоторые из них используются при поиске криминалистических данных и определении истории определенных файлов. Одной из таких областей является простой ярлык Windows .LNK.

На первый взгляд простой ярлык – это крошечный файл, который указывает на другой файл, например исполняемый файл для запуска программы с вашего рабочего стола. Некоторые подробности о ярлыке можно получить, щелкнув по нему правой кнопкой мыши и выбрав «Свойства». Вкладка «Ярлык» отображает информацию о том, где находится целевой файл, а вкладка «Сведения» – дату создания ярлыка. Но это гораздо больше стандартного ярлыка, чем вы думаете.

Фактически, все файлы ярлыков .LNK содержат большие объемы данных, которые идентифицируют компьютер, на котором они были созданы, а также компьютер, на котором они в настоящее время находятся. Например, внутри данных файла хранится MAC-адрес сетевого адаптера и имя исходного компьютера вместе с любыми используемыми сетевыми путями. Даже метка, тип и серийный номер диска, на котором он был создан, доступны для просмотра. Также можно найти гораздо больше данных, касающихся времени и дат.

Если вы хотите посмотреть, какие данные хранятся в ваших ярлыках, вам понадобится сторонний инструмент для декодирования этой информации, так как что-то вроде шестнадцатеричного редактора будет просто показывать в основном бессмысленность. Вот 5 бесплатных инструментов для вас, чтобы попробовать.
1. Lnkanalyser

С точки зрения простоты использования, Lnkanalyser примерно такой же простой, как и инструмент командной строки. Объем информации, отображаемой над вкладкой «Подробности» в проводнике, вполне разумен, хотя некоторые другие инструменты, перечисленные здесь, могут показать больше. Единственный необходимый аргумент – указать путь и имя файла .LNK.

lnkanalyser -i (путь ) shortcut.lnk

Отображается обычная информация о путях и датах / временах ярлыка и файла, на который он ссылается. Кроме того, вы можете просмотреть обычно скрытые данные, такие как оригинальные метки времени, имя, серийный номер и тип диска, на котором был создан ярлык, имя компьютера, на котором он был создан, сетевой путь / имя, а также MAC-адрес сетевой адаптер на исходном компьютере.

Скачать lnkanalyser

2. Анализатор файлов Windows

Как следует из названия, Windows File Analyzer – это специальный инструмент для сбора всех видов информации о конкретных файлах на вашем компьютере. Сюда входят миниатюры, файлы предварительной загрузки Windows, файлы Index.DAT, файлы корзины и ярлыки lnk. Программа имеет несколько вкладок, поэтому вы можете открыть несколько процессов анализа одновременно. Это также портативный автономный исполняемый файл.

Нажмите зеленую / желтую кнопку или параметр в меню Файл, чтобы проанализировать некоторые ярлыки, найдите папку и появится список всех ярлыков .LNK. В окне будут представлены стандартные данные, такие как даты создания, записи и доступа, а также более сложные данные, такие как имя и серийный номер жесткого диска, имя компьютера и MAC-адрес сетевой карты. Дважды щелкните, чтобы получить ту же информацию в поле. Нажатие на раскрытие записи также может дать даты создания для всех папок в пути к файлу. Отчеты могут быть распечатаны, но не сохранены напрямую в файл.

Скачать Windows File Analyzer

3. LECmd

Хотя LECmd является инструментом командной строки, для его работы требуется .NET Framework 4.6, поэтому его должны устанавливать все, кроме пользователей Windows 10. У инструмента не слишком много аргументов, и вы можете посмотреть, что доступно, просто набрав lecmd.exe в командной строке. Чтобы получить данные для одного файла .LNK, используйте -f или -d для обработки каталога файлов.

lecmd -f (путь ) shortcut.lnklecmd -d путь

LECmd имеет возможность выводить информацию непосредственно в файл CSV, XML, HTML или JSON. Укажите один или несколько аргументов – (html / csv / xml / json) и целевой каталог для сохранения каждого файла. Добавьте -q для большой папки с ярлыками, чтобы пропустить вывод на консоль и сократить время обработки.

lecmd -d (путь) –html C: html –xml C: xml –csv C: csv -q

Вывод является подробным и показывает некоторую довольно сложную информацию, такую ​​как путь и даты доступа к файлу и созданного файла, индекс значка и информация о окне, тип жесткого диска / серийный номер / метка, информация о сетевом ресурсе, идентификатор машины, MAC-адрес и поставщик сетевого адаптера.

Скачать LECmd

4. Link Parser

Link Parser – судебно-медицинская фирма 4Discovery. Это простой и полностью переносимый инструмент для чтения значительного объема информации из файла ярлыков lnk. Вся собранная информация может быть сохранена в файл CSV для дальнейшего использования. Одна из проблем, с которой мы столкнулись при использовании Link Parser, заключалась в том, что опция открытия файла не работала, поэтому вместо этого придется открывать папку.

После открытия папки, содержащей несколько файлов ярлыков .LNK, вы получите довольно много информации для чтения. Доступны все текущие и оригинальные даты и время создания файла, а также полезные данные, такие как тип исходного диска, имя диска, серийный номер диска, имя сети, относительный путь и имя компьютера. Интересно, что Link Parser показывает текущий VolumeID, ObjectID и MAC-адрес, а также эти значения при создании файла. Обратите внимание, что вам придется закрыть и снова открыть программу, чтобы очистить данные из окна.

Скачать Link Parser

5. LNK Parser

LNK Parser – еще один инструмент командной строки, но его также можно использовать без ввода команд вручную. Для этого дважды щелкните исполняемый файл LNK Parser, перетащите ярлык или папку .LNK в окно. При необходимости создайте отчет (укажите путь, если вы выбрали создание отчета), ответьте на пару простых вопросов и нажмите Y или N, если вы хотите, чтобы вывод отправлялся в окно консоли. Вы также получите те же шаги, введя lnk_parser_cmd непосредственно в командной строке без аргументов.

Параметры командной строки – это в основном те же ручные аргументы для шагов мастера.

lnk_parser_cmd -o (сохранить путь к отчету) -w (отчет html) -c (отчет csv) ( shortcut.lnk)

Объем информации аналогичен другим инструментам здесь, и вы получите более базовые данные, а также скрытые данные. Сюда входят сведения об исходном диске, имя NetBIOS, MAC-адрес, атрибуты пути к папке с созданными и доступными датами / временем и все данные идентификатора папки.

Скачать LNK Parser

6. LNK File Previewer

LNK File Previewer является бесплатной версией инструмента, взятой из коммерческого программного обеспечения Simple Carver Suite. Эта программа немного устарела, начиная с 2008 года, но, кажется, работает нормально. Одной из незначительных проблем является то, что все файлы внутри папки отображаются в пользовательском интерфейсе, и если они не являются ярлыками .LNK, они будут отображаться как недопустимый файл. LNK File Previewer является переносимым, но поставляется в архиве RAR, поэтому для его распаковки вам понадобится что-то вроде 7-Zip или WinRAR.

Чтобы прочитать данные обо всех ярлыках в папке, перейдите в «Процесс»> «Папка» и найдите место назначения. Перед этим, при необходимости, снимите флажок Рекурсировать подпапки в нижней части окна, чтобы не переходить вниз по слоям в поисках файлов. Количество отображаемых данных не так много, как у некоторых инструментов, но вы по-прежнему получаете полезную информацию, такую ​​как MAC-адрес, имя компьютера, сетевой путь, тип жесткого диска, серийный номер и имя, а также несколько полезных дат. Нажатие на запись показывает основные детали ниже. Вся информация для всех обработанных файлов может быть экспортирована в файл CSV.

Скачать LNK File Previewer

Совет: Если один из инструментов командной строки предоставляет вам более качественную информацию, но вам не нравится каждый раз использовать командную строку, есть простое решение. Создайте небольшой пакетный файл и поместите ярлык на значок файла .BAT. В качестве дополнительной опции откройте результаты автоматически в блокноте. Например, используя Lnkanalyser, вы можете создать что-то вроде этого:

@ эхо выключено
lnkanalyser -i% ~ 1>% temp% lnkfile.txt

Блокнот% temp% lnkfile.txt

Exit mobile version