Lnkanalyser

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

lnkanalyser는 Woanware에서 개발한 링크파일 분석 도구로 프리웨어로 제공된다. 최신 업데이트는 2014년 4월 5일이며, 최신 버전은 1.0.0이다. lnkanalyser는 CLI 인터페이스로 Windows, Mac OS X, Linux 운영체제 환경에서 사용 가능하다. lnkanalyser는 별다른 옵션 없이 링크 파일에 대한 경로만을 입력받는다. lnkanalyser는 입력된 링크 파일의 메타 정보, 볼륨 ID, TrackerDataBlock 정보, CommonNetworkRelativeLink 정보 등을 제공한다. lnkanalyser의 실행 화면은 [그림 1]과 같다.

[그림 1]lnkanalyser 실행 화면



사용법

lnkanalyser는 CLI 환경에서만 실행 가능하므로, Windows 명령 프롬프트에서 실행할 수 있다. lnkanalyser의 옵션은 input을 위한 -i와 도움말을 위한 –h만이 존재하며, 도움말은 실행 파일 명 이후 "-h" 옵션을 붙여 [그림 2]와 같이 확인할 수 있다.

[그림 2]lnkanalyser 도움말 화면

명령어 예시는 아래 [표 1]과 같다.

[표 1] lnkanalyser 명령어 예시
nkanalyser.exe -i [Input 경로]



lnkanalyser의 입력은 -i 옵션 이후 실행하고자 하는 링크파일의 경로를 입력하거나 명령 프롬프트 창으로 링크파일을 드래그 앤 드롭 하는 방식이 존재한다. lnkanalyser 명령문 예제는 [그림 3]과 같다

[그림 3]lnkanalyser 명령어 실행 화면



도구 기능

lnkanalyser의 출력 결과 중에서 포렌식 관점에서 중요한 부분은 [표 2]와 같다.

[표 2] lnkanalyser의 출력 정보
항목 설명
Path 링크 파일이 위치한 경로
FileAttributes 링크 대상 파일의 파일 속성
Show Command 링크 파일을 실행할 때 동작 옵션
Relative Path 링크 대상 파일의 링크 파일로부터의

상대경로

Working Path 링크 대상 파일이 들어있는 디렉터리
Arguments 링크 파일 아이콘의 경로
Creation, Access, WriteTime 대상 파일의 생성, 접근, 쓰기 시간
FileSize 대상 파일의 크기
DriveType 대상 파일이 존재하는 Drive의 Type
DriveSerialNumber 대상 파일이 존재하는 Drive 시리얼
MachineID 컴퓨터 이름
NewVolumeID 링크 대상이 현재 존재하는 GUID
NewObjectID 링크 대상이 현재 존재하는 UUID
NewObjectID Timestamp UUID의 생성 시간
NewObjectID Sequence Num UUID의 Sequence Number
NewObjectID MAC Address 링크 대상이 현재 존재하는 시스템의 MAC 주소
BirthVolumeID 링크 대상 생성시의 GUID
BirthObjectID 링크 대상 생성시의 UUID
BirthObjectID Timestamp UUID의 생성 시간
BirthObjectID Sequence Num UUID의 Sequence Number
BirthObjectID MAC Address 링크 대상이 생성된 시기의 시스템의 MAC 주소



제한사항

lnkanalyser는 Name을 기술함에 있어서 Unicode 문자표기에 대한 제약 사항을 가지는데 상단의 [그림 3]과 같이 그 문자열이 제대로 표시되지 않는 버그가 나타난다. 또한 디렉터리를 입력 못하므로 대량의 링크파일을 분석할 때 적합하지 않다.

수사 활용 방안

대상 링크 파일의 정보를 요소별로 묶어 출력해주기 때문에 사용자가 직관적으로 알 수 있어, 소수의 링크파일을 분석하기에 적합하다.