Como continuação da série “Introdução ao Windows Forensics”, este vídeo apresenta o onipresente arquivo LNK, ou “link”, bem como um recurso menos conhecido do Windows chamado Jump Lists.
Esses dois artefatos nos fornecem vários itens de interesse forense. Vamos primeiro dar uma olhada nas informações básicas que você precisa saber para analisar esses artefatos. Então, vamos dar uma olhada dentro de um arquivo LNK e usar o ExifTool e o Lnk Explorer para extrair itens de valor probatório. Por fim, veremos as Listas de Atalhos e usaremos o JumpList Explorer para explorar o conteúdo desses arquivos.
LNK Files:
http://forensicswiki.org/wiki/LNK
Forensic Analysis of LNK files:
https://www.magnetforensics.com/computer-forensics/forensic-analysis-of-lnk-files/
Jump Lists:
http://forensicswiki.org/wiki/Jump_Lists
4n6k Jump List AppID Master List:
https://github.com/4n6k/Jump_List_AppIDs/blob/master/4n6k_AppID_Master_List.md
ExifTool:
https://www.sno.phy.queensu.ca/~phil/exiftool
Lnk Explorer:
https://ericzimmerman.github.io/
JumpList Explorer:
https://ericzimmerman.github.io/
*** Additional Tools Referenced in This Video ***
Lnkanalyser:
http://www.woanware.co.uk/forensics/lnkanalyser.html
Windows LNK Parsing Utility:
https://tzworks.net/prototype_page.php?proto_id=11
Internet Evidence Finder (IEF):
https://www.magnetforensics.com/magnet-ief
JumpLister:
http://www.woanware.co.uk/forensics/jumplister.html
JumpListsView:
https://www.nirsoft.net/utils/jump_lists_view.html
Windows Jump List Parser:
https://tzworks.net/prototype_page.php?proto_id=20
Fonte: https://www.youtube.com/channel/UCy8ntxFEudOCRZYT1f7ya9Q