LNKParser
소개[편집]
LNKParser는 고려대학교 디지털 포렌식 연구실(DFRC)에서 개발한 링크파일 분석 도구로 프리웨어로 제공되며, 최신 업데이트는 2013년 9월 5일이며, 최신 버전은 1.0.0이다. LNKParser는 GUI 인터페이스를 제공하며 Windows 운영체제 환경에서 사용가능하다. LnkParser를 통하여 획득할 수 있는 정보는 PC 이름, 링크 파일 경로, 파일 크기, 링크 파일과 Target File의 Access·Write·Modify Time 정보, 드라이브 타입, 볼륨 라벨, 드라이브 시리얼 넘버이다. LNKParser는 Input으로 폴더 또는 링크 파일을 탐색 창을 통해 입력받을 수 있으며, 분석 결과를 CSV 포맷으로 출력할 수 있다. LnkParser의 실행 화면은 [그림 1]과 같다.
사용법[편집]
lLNKParser는 GUI 환경으로 동작하며 특정 폴더와 파일을 탐색기 창에서 선택하여 입력으로 넣은 후, Start 버튼을 눌러 실행할 수 있다. 실행 결과는 상단의 [그림 1]과 같다. Export CSV 버튼을 통하여 CSV 포맷으로 결과를 출력할 수 있으며 그 결과를 오픈한 화면은 [그림 2]와 같다.
도구 기능[편집]
LNKParser에서 나타내는 정보는 [표 1]과 같다.
| 항목 | 설명 |
|---|---|
| Machine ID | MachineID |
| FileName | 대상 파일 명 |
| FilePath | 대상 파일 경로 |
| FileSize | 대상 파일 크기 |
| lnkCreation, Access, WriteTime | lnk 파일의 생성, 접근, 쓰기 시간 |
| TargetCreation, Access, WriteTime | 대상 파일의 생성, 접근, 쓰기 시간 |
| DriveType | 드라이브 타입 |
| VolumeLabel | 볼륨 정보 |
| DriveSerialNumber | 드라이브 시리얼 넘버 |
| MAC Address | MAC Address 정보 |
제한사항[편집]
LNKParser에서는 발견된 제약 사항이 존재하지 않는다.
수사 활용 방안[편집]
수사 현장에서 lnk 파일의 정보를 수집 하여 분석할 경우, LNK Parser는 여러 파일의 정보를 빠르게 확인할 수 있다는 장점을 가지고 있다. 또한 lnkanalyzer에서는 나타나지 않는 lnk 파일의 생성, 접근, 쓰기 시간정보를 획득할 수 있다는 장점을 가지고 있어 수사에 있어 더욱 많은 정보를 빠르게 획득할 수 있다. 대상 링크 파일의 정보를 요소별로 묶어 출력해주기 때문에 사용자가 직관적으로 알 수 있어, 소수의 링크파일을 분석하기에 적합하다.
