El archivo de atajo o “acceso directo” de Windows tiene la extensión .LNK. Este es básicamente un archivo de metadatos, específico para la plataforma Microsoft Windows y es interpretado por el shell de Windows. El formato del archivo indica el contenido de una firma 0x4C (4C 00 00 00) en el desplazamiento 0 dentro del flujo/archivo. Además, el GUID (CLSID) 00021401-0000-0000-c000-000000000046 almacenado en el byte 4 de desplazamiento lo hace un buen identificador.

Comprender este formato de archivo puede ser extremadamente útil para un analista, pues no solo los archivos de atajo o acceso directo siguen siendo empleados en Windows 7, sino el formato binario es también utilizado en flujos numerados dentro de archivos de listas de saltos*.automaticDestinations-ms sobre Windows 7 y Windows 8.

Para la siguiente demostración se utilizar el script de nombre “Lnk-parse-1.0.pl” ubicado en el directorio “/usr/share/caine/pacchetti/scripts/” en CAINE. Lnk-parse es un script hecho en perl para interpretar archivos *.lnk.

Al ejecutar el script se expone su modo de uso. La cual es muy sencilla.

Se procede a definir el archivo en formato LNK a ser analizado.

Entre la información obtenida se enumeran las banderas del archivo, la fecha de creación, la fecha de última acceso y la fecha de última modificación. La longitud del objetivo. Para el archivo en análisis no se obtiene información sobre la descripción, ruta relativa o nombre del archivo ícono.

Fuentes:

http://www.caine-live.net/page11/page11.html
http://www.reydes.com/d/?q=Forense_al_Archivo_de_Acceso_Directo_en_Windows
http://forensicswiki.org/wiki/LNK
https://code.google.com/p/lnk-parser/