LNK란
LNK은 바로가기이다. 이러한 바로가기 파일은 윈도우에서 자동으로 만들게 되어있다.(비활성화 가능하다). LNK는 다양한 루트에 만들어진다. 이를 분석하여 파일의 실행으 확인 할 수 있다.
바탕화면 폴더
- Windows XP : C:\Documents and Settings\\Desktop
- Windows 7 / 8 / 10 / 11 : C:\Users\\Desktop
최근문서(Recent) 폴더
- Windows XP : C:\Documents and Settings\\Recent
- Windows 7 / 8 / 10 / 11 : C:\Users\AppData\Roaming\Microsoft\Windows\Recent
시작프로그램(Start) 폴더
- Windows XP : C:\Documents and Settings\\Start Menu\Programs
- Windows 7 / 8 / 10 / 11 : C:\Users\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
바탕화면(Desktop) 폴더
- Windows XP : C:\Documents and Settings\\Desktop
- Windows 7 / 8 / 10 / 11 : C:\Users\\Desktop
빠른실행(QuickLaunch) 폴더
- Windows XP : C:\Documents and Settings\\Application Data\Microsoft\Internet Explorer\Quick Launch
- Windows 7 / 8 / 10 / 11 : C:\Users\\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
참고로 빠른실행 및 시작프로그램이 무엇인지 모르면? 아래링크를 읽어보세용
https://blog.naver.com/PostView.nhn?blogId=taeil34&logNo=221345931016
실습
LEcmd을 통해서 recent의 hmtl 분석파일을 만들었다.
아래 사진은 lnk의 html이다.
추가적인 분석
usb을 통해서 불법적인 avi 파일을 유통하는 것을 잡을 때 사용될 수 있다. 아래 링크 참고
포렌식을 공부하는 학생입니다.