LNK 파일

링크파일 (.lnk)

LNK 파일은 흔히 링크 파일이라고 부른다. 윈도우 운영체제에서 바로가기를 생성하는데 사용된다.

링크 파일 포맷

ShellLinkHeader (default)

기본적인 헤더로 식별 정보, 시간 정보, 대상 파일 크기, 대상 파일 특성 등의 정보가 저장된다.

LinkTargetIDList (optional)

• ShellLinkHeader의 HasLinkTargetIDList 플래그가 설정되어 있을 때만 존재하는 구조
• 링크된 대상의 다양한 정보를 리스트 형태로 구성해 놓은 구조

LinkInfo (optional)

• ShellLinkHeader의 HasLinkInfo 플래그가 설정되어 있을때만 존재하는 구조
• 링크 대상을 참조하기 위한 정보를 가진 구조이다.

StringData (optional)

• 링크 대상의 문자열 정보(이름, 상대경로, 작업 디렉터리 등)를 저장하는 구조
• ShellLinkHeader에 관련된 플래그가 설정되어 있을 때만 존재한다.

ExtraData (optional)

링크 대상의 화면 표시 정보, 문자열 코드 페이지, 환경 변수와 같은 추가적인 정보 저장하는 구조

ShellLinkHeader 구조

FileAttributes : 링크 대상의 파일 특성 정보

CreationTime : 링크 대상의 생성 시간

AccessTime : 링크 대상의 접근 시간

WriteTime : 링크 대상의 쓰기 시간

FileSize : 링크 대상의 크기

LinkInfo 구조

LinkInfo 구조에서 중요한 정보는 VolumeID, CommonNetworkRelativeLink정보이다.

• DriveType : 링크 대상이 위치한 드라이브 형식
• DriveSeralNumber : 링크 대상이 위치한 드라이브의 시리얼 번호
• LocalBasePath : 링크 대상 경로

LNK 파일의 포렌식적 의미

최근문서(Recent) 폴더

C:\USERS<user name>\AppData\Roaming\Microsoft\Windows\Recent

참고 URL

1. http://forensic-proof.com/archives/607