Forense al Archivo de Acceso Directo en Windows

  • Posted on: 19 May 2014
  • By: ReYDeS

Un acceso directo permite al usuario encontrar un archivo o recurso localizado en un directorio o carpeta diferente del lugar donde el acceso directo está localizado. Un archivo de Acceso Directo o de enlace contiene la ruta del archivo y el tipo de almacenamiento sobre el cual existe, como un disco curo, unidad de red, DVD, etc. También contiene los tiempos MAC del archivo como también los tiempos MAC propios que muestran la fecha de creación del archivo.

Para la presente práctica se utilizará la imagen forense obtenida desde un disco duro obtenido utilizado en un Sistema Operativo Windows XP.

Se procede a montar el sistema de archivos pertinente desde la imagen forense, para luego ingresar a una de la carpetas contenedoras de archivos de acceso directo.

Los archivos de acceso directo en Windows tienen la extensión .LNK, la cual en esencia es un archivo de metadatos específico de las plataformas Windows y es interpretada por el shell de Windows. El formato del archivo indica que estos archivos contienen una firma específica, 04C (4c 00 00 00) en el “offset”o desplazamiento 0 dentro del archivo o flujo. Más adelante el GUID - Globally Unique Identifier - (CLSID) – Class Identifier (Contenido en el registro HKEY_CLASSES_ROOT\CLSID) almacenado en el desplazamiento 4 hace un buen identificador. El GUID en los COM (Component Object Model) de Microsoft es utilizado para diferenciar de manera única diferentes interfaces de componentes para software.

Se utiliza la herramienta xxd para realizar un volcado hexadecimal del archivo a analizar.

Metadatos

Contiene una instantánea de las fechas y marcas de tiempo del objetivo antes de su última apertura. El objetivo puede contener diversa información, como la lista de ítemes shell del objetivo, el tamaño del objetivo cuando fue por última vez accedido, el número de serie del volumen donde el objetivo fue almacenado; esto es útil para relacionar una unidad USB u otro medio de extraíble con un usuario o sistema particular; el nombre del volumen compartido en red, atributos del objetivo; como solo-lectura, oculto, sistema, etiqueta del volumen, cifrado, comprimido, offline entre otros. También puede contener información distribuida de rastreo del enlace; esto permite rastrear los objetivos de los enlaces, de tal manera que el acceso directo puede ser actualizado silenciosamente si el objetivo se mueve a otra unidad de almacenamiento.

En los resultados obtenidos se detallan la fecha y hora de creación, modificación y accesso para el archivo, el tamaño del archivo en bytes, las banderas de atributos para el archivo, la ruta en la red y el directorio de trabajo.

Entender el formato del archivo LNK y los metadatos contenidos en este tipo de archivos son extremadamente útiles para un analista. Dado que en el escenario donde se intente recrear el manejo de un documento por parte de un individuo, el no analizar adecuadamente los archivos LNK implicarían perder evidencia valiosa.

Fuentes:

http://msdn.microsoft.com/en-us/library/dd871305.aspx
n.wikipedia.org/wiki/Globally_unique_identifier
http://www.forensicswiki.org/wiki/LNK
https://code.google.com/p/liblnk/
http://en.wikipedia.org/wiki/File_shortcut

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete