링크파일 분석 도구
개요[편집]
링크파일(LNK)은 Windows의 바로가기 파일로, 파일 내부에 참조하는 대상 파일의 경로, 파일 명, 대상 파일의 생성, 접근, 쓰기 일자, 대상 파일이 존재하는 드라이브 정보 등을 담고 있어, 대상 파일이 삭제된 상황에서도 해당 정보를 추출할 수 있다는 장점을 가지고 있다. 본 절에서는 링크 파일 분석 도구 중 Windows LNK Parsing Utility (lp), lnkanalyser, LNKParser에 대하여 살펴볼 것이다.
링크파일 분석 도구 기능 분석[편집]
링크 파일 분석 도구는 링크 파일 자체의 정보와, 링크 대상인 원본 파일에 대한 정보, 연결된 이동식 디스크의 정보, Volume ID를 공통적으로 출력한다. LNKParser의 경우에는 링크 대상 관련 시간 정보뿐만 아니라, .lnk 파일 자체의 시간 정보도 나타낸다는 장점이 있다. 링크 파일 분석 도구의 기능상 차이는 입력 포맷의 다양성이다. 링크 파일 분석 도구는 모두 단일 링크파일을 입력으로 하여 분석을 진행할 수도 있지만, 그 중 Windows LNK Parsing Utility(lp)는 raw 파일, 마운트 된 볼륨, vmdk, image 파일, jumplist의 입력으로도 링크 파일을 파싱하여 분석을 진행할 수 있다. LNKParser는 폴더로 입력을 받을 수도 있다. 다음으로 기능상의 차이는 파싱 결과 출력 여부이다. Windows LNK Parsing(lp)와 LNKParser는 .csv 파일로 결과를 출력할 수 있다. lnkanalyser는 커맨드 창에서 리다이렉션( > )을 이용해 결과 출력이 가능하지만, 출력하고자 하는 포맷으로 데이터 형태를 가공할 수는 없다. 마지막 기능상의 차이는 유니코드 지원 여부이다. 국내에서 제작된 LNKParser는 유니코드를 지원하지만, Windows LNK Parsing Utility(lp)와 lnkanalyser는 유니코드의 제약이 존재한다.
