Lnkanalyser
소개[편집]
lnkanalyser는 Woanware에서 개발한 링크파일 분석 도구로 프리웨어로 제공된다. 최신 업데이트는 2014년 4월 5일이며, 최신 버전은 1.0.0이다. lnkanalyser는 CLI 인터페이스로 Windows, Mac OS X, Linux 운영체제 환경에서 사용 가능하다. lnkanalyser는 별다른 옵션 없이 링크 파일에 대한 경로만을 입력받는다. lnkanalyser는 입력된 링크 파일의 메타 정보, 볼륨 ID, TrackerDataBlock 정보, CommonNetworkRelativeLink 정보 등을 제공한다. lnkanalyser의 실행 화면은 [그림 1]과 같다.
사용법[편집]
lnkanalyser는 CLI 환경에서만 실행 가능하므로, Windows 명령 프롬프트에서 실행할 수 있다. lnkanalyser의 옵션은 input을 위한 -i와 도움말을 위한 –h만이 존재하며, 도움말은 실행 파일 명 이후 "-h" 옵션을 붙여 [그림 2]와 같이 확인할 수 있다.
명령어 예시는 아래 [표 1]과 같다.
| nkanalyser.exe -i [Input 경로] |
lnkanalyser의 입력은 -i 옵션 이후 실행하고자 하는 링크파일의 경로를 입력하거나 명령 프롬프트 창으로 링크파일을 드래그 앤 드롭 하는 방식이 존재한다. lnkanalyser 명령문 예제는 [그림 3]과 같다
도구 기능[편집]
lnkanalyser의 출력 결과 중에서 포렌식 관점에서 중요한 부분은 [표 2]와 같다.
| 항목 | 설명 |
|---|---|
| Path | 링크 파일이 위치한 경로 |
| FileAttributes | 링크 대상 파일의 파일 속성 |
| Show Command | 링크 파일을 실행할 때 동작 옵션 |
| Relative Path | 링크 대상 파일의 링크 파일로부터의
상대경로 |
| Working Path | 링크 대상 파일이 들어있는 디렉터리 |
| Arguments | 링크 파일 아이콘의 경로 |
| Creation, Access, WriteTime | 대상 파일의 생성, 접근, 쓰기 시간 |
| FileSize | 대상 파일의 크기 |
| DriveType | 대상 파일이 존재하는 Drive의 Type |
| DriveSerialNumber | 대상 파일이 존재하는 Drive 시리얼 |
| MachineID | 컴퓨터 이름 |
| NewVolumeID | 링크 대상이 현재 존재하는 GUID |
| NewObjectID | 링크 대상이 현재 존재하는 UUID |
| NewObjectID Timestamp | UUID의 생성 시간 |
| NewObjectID Sequence Num | UUID의 Sequence Number |
| NewObjectID MAC Address | 링크 대상이 현재 존재하는 시스템의 MAC 주소 |
| BirthVolumeID | 링크 대상 생성시의 GUID |
| BirthObjectID | 링크 대상 생성시의 UUID |
| BirthObjectID Timestamp | UUID의 생성 시간 |
| BirthObjectID Sequence Num | UUID의 Sequence Number |
| BirthObjectID MAC Address | 링크 대상이 생성된 시기의 시스템의 MAC 주소 |
제한사항[편집]
lnkanalyser는 Name을 기술함에 있어서 Unicode 문자표기에 대한 제약 사항을 가지는데 상단의 [그림 3]과 같이 그 문자열이 제대로 표시되지 않는 버그가 나타난다. 또한 디렉터리를 입력 못하므로 대량의 링크파일을 분석할 때 적합하지 않다.
수사 활용 방안[편집]
대상 링크 파일의 정보를 요소별로 묶어 출력해주기 때문에 사용자가 직관적으로 알 수 있어, 소수의 링크파일을 분석하기에 적합하다.
