- 13 Ocak 2018
- 3,227
- 29
KISAYOL DOSYALARI ÜZERİNDE ADLİ İNCELEME (LNK FORENSICS)
Merhaba değerli THT üyeleri,
Bu konumda sizlere kısayol dosyaları (.lnk) üzerinde adli inceleme işlemlerini göstereceğim. Bu işlemler sayesinde hedef dosya ve sistem üzerinde çeşitli bilgilere ulaşacağız.. Hazırsanız anlatıma başlayalım,
GEREKLİ YAZILIMLARIN KURULMASI
Kısayol dosyalarını (.lnk) ayrıştırmak için Windows File Analyzer yazılımını kullanacağız. Aşağıdan bu yazılımı indirebilirsiniz,
Virüs Total
KISAYOL DOSYALARI ÜZERİNDE ADLİ İNCELEME (LNK FORENSICS)
Sistemlerde "Recent" olarak ifade edilen bir kavram vardır. Bu kavram adından da anlaşılacağı üzere bilgisayarda en son hangi dosyalara erişildiği gibi bilgileri barındırır. Bu dosyalara ait kısayol dosyaları Recent dizini altında oluşturulur. Ve aşağıdaki yollardan bu dosyalara erişim sağlanabilir,
Bilgisayarınız Windows Vista ve üstü bir işletim sistemine sahipse yukarıda verdiğim yollardan ilk ikisinden bu dosyalara ulaşabilirsiniz. Windows XP kullanıyorsanız da diğer iki yoldan ulaşabilmeniz mümkün. AppData dizini gizlendiği için dizine girebilmek için görünüm ayarlarından "Gizli Öğeler" seçeneğini tik ile işaretlemeniz gerekmektedir.
Şimdi de LNK dosyalarından biraz bahsedelim. Nedir bu lnk dosyaları ? Lnk dosyalarını kullanarak nelere erişebilir ?
Lnk dosyaları, bilgisayarınızda bulunan kısayolların tamamıdır. Örnek veriyorum D: dizininde bulunan THT.exe uygulamasının kısayolunu masaüstünde oluşturdunuz. Bu dosyanın uzantısı .lnk olarak değişecek (THT.lnk) ve artık bir lnk dosyası haline gelecektir. Bu bilgiyi şu an bu konuyu okuyan hemen hemen herkes biliyordur. Ben yine de bahsettim, basit ve anlaşılır.
"İyi, güzel de bu lnk dosyaları üzerinde adli inceleme yapınca elimize ne geçecek sen var git onu anlat bize" diyorsanız onu da şöyle açıklayayım,
Bu lnk dosyaları ile;
erişilebilmektedir. Bizde birazdan bu bilgilere erişmeye çalışacağız.
Şimdi Windows File Analyzer yazılımımızı çalıştıralım, aşağıdaki gibi bir ekran bizi karşılayacak
Ardından üst paneldeki "Analyze Shortcuts" iconuna tıklıyoruz ( imleci iconların üzerine getirip 1 sn kadar beklediğinizde açıklaması yazacaktır) Ardından açılan yeni pencerede recent (son kullanılan ögeler) klasörünü seçeceğiz.
Bu işlemden sonra bizden kullandığımız işletim sistemini isteyecek. Ben win8.1 kullandığım için win8'i seçiyorum. Ardından "OK"a basıyoruz.
Tamam dedikten hemen sonra lnk dosyalarımız analiz edildi ve karşımıza çeşitli bilgiler çıktı. Aşağıda da gördüğünüz gibi dosyanın adı, konumu, oluşturma, düzenleme ve erişim tarihleri, boyutu, depolama alanı seri numarası, NetBios bilgisi ve MAC adresi bilgilerine erişebildik.
Kısayol dosyaları üzerinde adli inceleme konumuza burada nokta koyuyorum. Teşekkür eder, iyi forumlar dilerim..
Merhaba değerli THT üyeleri,
Bu konumda sizlere kısayol dosyaları (.lnk) üzerinde adli inceleme işlemlerini göstereceğim. Bu işlemler sayesinde hedef dosya ve sistem üzerinde çeşitli bilgilere ulaşacağız.. Hazırsanız anlatıma başlayalım,
GEREKLİ YAZILIMLARIN KURULMASI
Kısayol dosyalarını (.lnk) ayrıştırmak için Windows File Analyzer yazılımını kullanacağız. Aşağıdan bu yazılımı indirebilirsiniz,
Kod:
http://www.mitec.cz/wfa.html
Virüs Total
Kod:
https://www.virustotal.com/gui/file/4390de41b76be52f2a97093662771172f7e0c1355d74b1476780ab6f416272e0/detection
KISAYOL DOSYALARI ÜZERİNDE ADLİ İNCELEME (LNK FORENSICS)
Sistemlerde "Recent" olarak ifade edilen bir kavram vardır. Bu kavram adından da anlaşılacağı üzere bilgisayarda en son hangi dosyalara erişildiği gibi bilgileri barındırır. Bu dosyalara ait kısayol dosyaları Recent dizini altında oluşturulur. Ve aşağıdaki yollardan bu dosyalara erişim sağlanabilir,
Kod:
\Users\kullaniciadi\AppData\Roaming\Microsoft\Windows\Recent
\Users\kullaniciadi\AppData\Roaming\Microsoft\Office\Recent
\Documénts and Settings\kullaniciadi\Recent
\Documénts and Settings\kullaniciadi\Application Data\Microsoft\Office\Recent
Bilgisayarınız Windows Vista ve üstü bir işletim sistemine sahipse yukarıda verdiğim yollardan ilk ikisinden bu dosyalara ulaşabilirsiniz. Windows XP kullanıyorsanız da diğer iki yoldan ulaşabilmeniz mümkün. AppData dizini gizlendiği için dizine girebilmek için görünüm ayarlarından "Gizli Öğeler" seçeneğini tik ile işaretlemeniz gerekmektedir.
Şimdi de LNK dosyalarından biraz bahsedelim. Nedir bu lnk dosyaları ? Lnk dosyalarını kullanarak nelere erişebilir ?
Lnk dosyaları, bilgisayarınızda bulunan kısayolların tamamıdır. Örnek veriyorum D: dizininde bulunan THT.exe uygulamasının kısayolunu masaüstünde oluşturdunuz. Bu dosyanın uzantısı .lnk olarak değişecek (THT.lnk) ve artık bir lnk dosyası haline gelecektir. Bu bilgiyi şu an bu konuyu okuyan hemen hemen herkes biliyordur. Ben yine de bahsettim, basit ve anlaşılır.
"İyi, güzel de bu lnk dosyaları üzerinde adli inceleme yapınca elimize ne geçecek sen var git onu anlat bize" diyorsanız onu da şöyle açıklayayım,
Bu lnk dosyaları ile;
- lnk dosyasının gösterdiği hedefin konumuna ,
- Hedefin erişim, oluşturma ve değiştirme zaman bilgilerine
- Hedefin boyutuna,
- Hedefin özelliklerine,
- Sistem MAC adresi ve NETBIOS ismine,
- Hedefin bulunduğu depolama alanının seri numarasına,
erişilebilmektedir. Bizde birazdan bu bilgilere erişmeye çalışacağız.
Şimdi Windows File Analyzer yazılımımızı çalıştıralım, aşağıdaki gibi bir ekran bizi karşılayacak
Ardından üst paneldeki "Analyze Shortcuts" iconuna tıklıyoruz ( imleci iconların üzerine getirip 1 sn kadar beklediğinizde açıklaması yazacaktır) Ardından açılan yeni pencerede recent (son kullanılan ögeler) klasörünü seçeceğiz.
Bu işlemden sonra bizden kullandığımız işletim sistemini isteyecek. Ben win8.1 kullandığım için win8'i seçiyorum. Ardından "OK"a basıyoruz.
Tamam dedikten hemen sonra lnk dosyalarımız analiz edildi ve karşımıza çeşitli bilgiler çıktı. Aşağıda da gördüğünüz gibi dosyanın adı, konumu, oluşturma, düzenleme ve erişim tarihleri, boyutu, depolama alanı seri numarası, NetBios bilgisi ve MAC adresi bilgilerine erişebildik.
Kısayol dosyaları üzerinde adli inceleme konumuza burada nokta koyuyorum. Teşekkür eder, iyi forumlar dilerim..
Son düzenleme: