Windows LNK Parsing Utility
소개[편집]
Windows LNK Parsing Utility는 TZWorks에서 개발한 링크파일 분석 도구로 프리웨어였으나 현재는 상용 버전으로 존재하며, 마지막 업데이트는 2014년 3월 31일(v0.62)이다.
Windows LNK Parsing Utility는 SHLLINK의 CLI 버전으로 Windows, Mac OS X, Linux 운영체제 환경에서 사용 가능하다. Windows LNK Parsing Utility는 단일한 Shortcut 파일에 대한 분석, 파티션에 존재하는 링크 파일에 대한 분석, 주어진 이미지에서의 Raw 스캔, Jump List의 분석 기능을 제공한다.
출력 형식은 CSV, XML, sleuth kit body-file format, log2timeline format을 지원한다. VMware Volume을 Parsing 할 수 있다는 특징을 가지고 있다.
사용법[편집]
Windows LNK Parsing Utility는 CLI 환경에서만 실행 가능하므로, Windows 명령 프롬프트에서 실행할 수 있다. Windows LNK Parsing Utility의 실행 명령어 예제는 [표 1]와 같으며, 실행 결과는 [그림 1]과 같다.
| 사용 목적 | 명령어 예시 |
|---|---|
| 단일 링크파일 분석 | lp.exe <filename> |
| dd 파일 내부에서 스캔 | lp.exe <filename> |
| 마운트된 볼륨에서 스캔 | lp.exe <filename> |
| VMWare 이미지에서 스캔 | lp.exe -vmdk "<file1>" | "<file2>" | ... |
| umpList에서 스캔 | lp.exe <jumplist file> -deepscan |
도구 기능[편집]
Windows LNK Parsing Utility에서 지원하는 옵션은 [표 2]와 같다.
| 옵션 | 설명 |
|---|---|
| -csv | csv 형태의 출력 |
| -csv12t | log2timeline의 출력 형태 |
| -bodyfile | sleuthkit의 출력 형태 |
| -base10 | 파일 크기를 base10의 형태로 표시 |
| -pipe | 파이프로 데이터를 입력받을 경우 선언 |
| -username | 출력에 username을 포함 |
| -hostname | 출력에 hostname을 포함 |
| -rawscan | 파일을 스캔하여 LNK 메타데이터 추출 |
| -deepscan | jumplist나 압축된 LNK 메타데이터 분석 |
| -dateformat | yyyy/mm/dd 포맷을 바꿀 수 있다 |
| -timeformat | hh:mm:ss.xxx 포맷을 바꿀 수 있다 |
| -no_whitespace | 공백을 모두 없앤다. [-csv 옵션 필수] |
| -csv_seperator "|" | 파이프 문자를 csv 구분자로 사용함 |
Windows LNK Parsing Utility의 출력에서 각각의 필드가 가지는 의미는 [표 3]과 같다.
| 필드명 | 설명 |
|---|---|
| file modified | LNK 파일의 최종 수정 시간 |
| file accessed | LNK 파일의 최종 접근 시간 |
| file created | LNK 파일의 생성 시간 |
| MFT Entry | 링크 대상 원본의 MFT Entry 넘버 |
| MFT Sequence | 링크 대상 원본의 MFT Sequence |
| Target flags | 링크 대상이 가지고 있는 고유 특성 정보로HasLinkTargetIDList, HasLinkInfo, HasRelativePath, HasWorkingDir, IsUnicode 등이 있다. |
| Target arrtibutes | 링크 대상의 파일 속성 |
| Target modified | 링크 대상의 최종 수정 시간 |
| Target accessed | 링크 대상의 최종 접근 시간 |
| Target created | 링크 대상의 생성 시간 |
| Target ObjID time | ObjID에 존재하는 시간 정보 |
| Parsed size | 링크 파일에서 파싱된 크기 |
| Target file size | 링크 대상의 크기 |
| Show cmd | ShowWindow function 값 |
| ID List | 링크 파일이 이동식 장치의 파일을 참조한 경우에 나타날 수 있는 Vendor ID, Product ID와 같은 부가정보를 나타냄 |
| Embedded ID List | ID_List에 따른 구체적인 세부 정보들을 나타낸다. |
| Volume Type | 볼륨의 타입 |
| Volume Serial | 볼륨 시리얼 넘버 |
| Local base path | 대상 파일의 위치 |
| Relative path | 대상 파일의 링크 파일로부터의 상대 경로 |
| Working directory | 대상 파일의 작업 경로 |
| NETBIOS name | 네트워크 자원에 대한 명칭, 호스트 네임 |
| Volume ID | Drive Type, Drive Serial Number 등의 정보를 포함한 값 |
| Object ID | Target ObjID time, MAC address를 포함한 값 |
| MAC address | ObjectID에 포함되어 있는 MAC Address값 |
제한사항[편집]
Windows LNK Parsing Utility에서는 특별한 제한 사항이 발견되지 않았다.
수사 활용 방안[편집]
Windows LNK Parsing Utility는 링크 파일 분석 도구 중에서 가장 많은 정보를 추출할 수 있는 도구로, CLI 기반의 분석 환경에서 특정된 링크 파일에 대한 분석에 있어 유용하게 사용할 수 있다.
