Warum sind .lnk-Dateien eine so reiche forensische Quelle?

Weil sie nicht nur aufzeichnen, wo ein Ziel war, sondern auch, wo die Verknüpfung selbst erstellt wurde. Eine einzige .lnk bewahrt den NetBIOS-Namen der ursprünglichen Maschine, eine MAC-abgeleitete Droid-GUID, die Volumen-Seriennummer der Platte, auf der sie sich befand, den vollständigen lokalen Pfad des Ziels und drei bei der Linkerstellung erfasste FILETIME-Zeitstempel. All das überlebt lange, nachdem die Zieldatei gelöscht wurde.

Wo erstellt Windows automatisch .lnk-Dateien?

An mehreren Orten: AutoDest-Jumplists unter %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations, Custom Destinations im Schwesterordner CustomDestinations, der Ordner Recent selbst (eine .lnk pro kürzlich geöffnetem Element), Startmenü- und Desktop-Verknüpfungen sowie Office-MRU-Listen. Jede davon ist in einer Untersuchung Freiwild.

Was ist eine Droid-GUID und warum ist sie wichtig?

Die Droid-GUID liegt im TrackerDataBlock und wird aus der MAC-Adresse der linkerstellenden Maschine mit einem Version-1-UUID-Schema generiert. Zwei innerhalb von Sekunden auf derselben Maschine erstellte Droid-GUIDs teilen die meisten Bits, einschließlich der MAC. Ermittler korrelieren Droids über .lnk-Dateien hinweg, um Aktivität auf einer einzigen Quellmaschine zu clustern, selbst wenn das Benutzerkonto oder der Pfad unterschiedlich ist.

Aktualisieren sich .lnk-Zeitstempel im Laufe der Zeit?

Nein. Die drei FILETIMEs im ShellLinkHeader sind eine Momentaufnahme der Erstellungs-, Zugriffs- und Schreibzeiten des Ziels zum Zeitpunkt der Linkerstellung. Sie verfolgen das Ziel danach nicht. Eine Verknüpfung, deren Zeitstempel nicht mit dem aktuellen Ziel übereinstimmen, sagt Ihnen, wann der Link selbst zuerst geschrieben wurde, oft nützlicher als die Live-Ziel-Metadaten.

Warum sind .lnk-Dateien eine so reiche forensische Quelle?

Weil sie nicht nur aufzeichnen, wo ein Ziel war, sondern auch, wo die Verknüpfung selbst erstellt wurde. Eine einzige .lnk bewahrt den NetBIOS-Namen der ursprünglichen Maschine, eine MAC-abgeleitete Droid-GUID, die Volumen-Seriennummer der Platte, auf der sie sich befand, den vollständigen lokalen Pfad des Ziels und drei bei der Linkerstellung erfasste FILETIME-Zeitstempel. All das überlebt lange, nachdem die Zieldatei gelöscht wurde.

Wo erstellt Windows automatisch .lnk-Dateien?

An mehreren Orten: AutoDest-Jumplists unter %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations, Custom Destinations im Schwesterordner CustomDestinations, der Ordner Recent selbst (eine .lnk pro kürzlich geöffnetem Element), Startmenü- und Desktop-Verknüpfungen sowie Office-MRU-Listen. Jede davon ist in einer Untersuchung Freiwild.

Was ist eine Droid-GUID und warum ist sie wichtig?

Die Droid-GUID liegt im TrackerDataBlock und wird aus der MAC-Adresse der linkerstellenden Maschine mit einem Version-1-UUID-Schema generiert. Zwei innerhalb von Sekunden auf derselben Maschine erstellte Droid-GUIDs teilen die meisten Bits, einschließlich der MAC. Ermittler korrelieren Droids über .lnk-Dateien hinweg, um Aktivität auf einer einzigen Quellmaschine zu clustern, selbst wenn das Benutzerkonto oder der Pfad unterschiedlich ist.

Aktualisieren sich .lnk-Zeitstempel im Laufe der Zeit?

Nein. Die drei FILETIMEs im ShellLinkHeader sind eine Momentaufnahme der Erstellungs-, Zugriffs- und Schreibzeiten des Ziels zum Zeitpunkt der Linkerstellung. Sie verfolgen das Ziel danach nicht. Eine Verknüpfung, deren Zeitstempel nicht mit dem aktuellen Ziel übereinstimmen, sagt Ihnen, wann der Link selbst zuerst geschrieben wurde, oft nützlicher als die Live-Ziel-Metadaten.

Forensische Analyse von .lnk-Dateien: Worauf Ermittler achten

Ein .lnk ist klein, es überlebt unabhängig vom Ziel, auf das es zeigt, und es erfasst eine präzise Momentaufnahme der Quellmaschine zum Zeitpunkt der Verknüpfungserstellung. Nach genug Fällen hören Sie auf, Verknüpfungen als unordentliche Benutzerbequemlichkeit zu betrachten, und beginnen, sie als eines der billigsten Stücke Attributionsbeweise zu behandeln, die Windows produziert. Dieser Beitrag ist die Praktikerkarte dessen, was tatsächlich herauszuziehen ist, abgebildet auf die binären Abschnitte, die durch MS-SHLLINK definiert sind.

Die Schlagzeilen-Artefakte

Lassen Sie ein echtes .lnk in den Parser fallen, und das sind die Felder, die ein DFIR-Analyst zuerst prüft.

Artefakt	Lebt in	Warum es wichtig ist
LocalBasePath	LinkInfo	Vollständiger Pfad auf der ursprünglichen Maschine; der Benutzername steht meist inline.
VolumeID (Serial, Label, Type)	LinkInfo → VolumeID	Identifiziert die Platte. Gleiche Seriennummer über mehrere Links bedeutet dieselbe Platte.
CreationTime / AccessTime / WriteTime	ShellLinkHeader	FILETIMEs des Ziels, erfasst bei der Linkerstellung. Überlebt das Löschen des Ziels.
Maschinen-NetBIOS-Name	ExtraData → TrackerDataBlock	Hostname der Maschine, die den Link geschrieben hat.
Droid- und DroidBirth-GUIDs	TrackerDataBlock	Version-1-UUIDs, deren letzte sechs Bytes die MAC der Quellmaschine sind.
Befehlszeilenargumente	StringData (COMMAND_LINE_ARGUMENTS)	Womit das Ziel ausgeführt werden sollte. Phishing-Indikator.
Arbeitsverzeichnis	StringData (WORKING_DIR)	Offenbart oft USB-Buchstaben oder Staging-Ordner.
Netzwerkfreigabe-Pfad	LinkInfo → CommonNetworkRelativeLink	UNC-Pfad. Bewahrt verschwundene Freigaben.
ShowCommand / IconLocation	ShellLinkHeader / StringData	Verstecktes Fenster plus gefälschtes Icon ist ein starkes Malware-Signal.
LinkTargetIDList	Nach dem Header	Shell-Namespace-Walk; löst manchmal auf, wenn LinkInfo es nicht tut.

Die gesamte Liste stammt aus Standardfeldern, die in [MS-SHLLINK] dokumentiert sind. Dieselben Parser, die sie lesen, funktionieren auch bei .lnk-Dateien, die aus Jumplist-Compound-Dateien extrahiert wurden, das sind LNK-Streams in einer MS-CFB-Hülle.

Der TrackerDataBlock im Detail

Der TrackerDataBlock ist das am häufigsten zitierte LNK-Artefakt in der DFIR-Arbeit und verdient das Zitat. Seine Nutzlast besteht aus zwei 16-Byte-GUIDs (Droid und DroidBirth) plus einem NetBIOS-Namen. Jede GUID ist eine Microsoft Distributed Link Tracking-Kennung, eine v1-UUID, generiert aus:

einem hochauflösenden Zeitstempel (wann der Link zuerst geschrieben wurde) und
der MAC-Adresse der linkerstellenden Maschine, den letzten sechs Bytes der GUID.

Das bedeutet, dass eine einzige .lnk die MAC der Maschine durchsickern lassen kann, die sie erstellt hat. Ermittler korrelieren Droid-GUIDs über Tausende von Verknüpfungen, um:

Aktivität auf einem einzigen Ursprungshost zu clustern, selbst wenn Dateinamen und Pfade unterschiedlich sind.
Die Linkquelle zu identifizieren, wenn nur die .lnk überlebt.
Attributionsfehler zu fangen, mehrere öffentliche Threat-Actor-Attributionen stammten von .lnk-Dateien, die die Build-VM des Angreifers durchsickern ließen. Die Berichte zu Lazarus / APT37 / APT41 sind öffentliche Beispiele.

MAC-Randomisierung, virtuelle NICs und moderne Windows-Builds können dies in einigen Fällen brechen. Das Artefakt erscheint immer noch in der Mehrheit der realen Samples, die ich geparst habe.

Wo Windows automatisch Verknüpfungen für Sie schreibt

Die vom Benutzer erstellten Verknüpfungen auf Desktop und Startmenü sind offensichtlich. Die interessanten sind die Verknüpfungen, die Windows automatisch schreibt:

%APPDATA%\Microsoft\Windows\Recent\, eine .lnk pro kürzlich geöffnetem Element. Nahezu vollständige Nutzungshistorie. Paaren Sie das mit dem Registry-Parser für die passenden RecentDocs-Schlüssel in NTUSER.DAT.
%APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\, AutoDest-Jumplist-Dateien. MS-CFB-Compound-Dateien, die nummerierte LNK-Streams plus einen DestList-Stream mit Zugriffszeitstempeln, Zählungen und dem ursprünglichen NetBIOS-Hostnamen enthalten.
%APPDATA%\Microsoft\Windows\Recent\CustomDestinations\, von Anwendungen kuratierte Jumplists. Flacher Byte-Stream, konkatenierte LNKs, terminiert von 0xBABFFBAB.
%APPDATA%\Microsoft\Office\Recent\, das parallele MRU von Office.
Wechselmedien selbst, Windows schreibt oft .lnk-Verknüpfungen zurück auf USB-Laufwerke, wenn sie eingesteckt werden. Diese sind vom Laufwerk wiederherstellbar, lange nachdem der Host, der sie erstellt hat, weg ist.

Jede dieser Quellen ist eine wiederherstellbare Timeline-Quelle, selbst wenn das Ziel gelöscht ist.

Workflow

Ein typischer Ermittlungsdurchgang bei gesammelten .lnk-Dateien:

Parsen und normalisieren. Konvertieren Sie jede Verknüpfung in einen strukturierten Datensatz mit den obigen Feldern. LECmd --csv, lnkinfo von libyal oder lnkparse3 für Python-Integration. Entscheiden Sie sich für ein Ausgabeschema eines Tools und bleiben Sie über den gesamten Fall dabei.
Pivot auf die Droid-GUID. Gruppieren Sie nach Quell-MAC. Schließen Sie pro-Maschinen-Aktivität ein oder aus. Ein einzelner Droid, der auf Verknüpfungen aus mehreren Benutzerprofilen erscheint, ist ein starkes Attributionssignal.
Pivot auf die Volumen-Seriennummer. Identifizieren Sie die Plattenherkunft. Gleiche Seriennummer über mehrere Links bedeutet dasselbe Laufwerk im Zeitverlauf. Unterschiedliche Seriennummern mit demselben Laufwerksbuchstaben bedeuten Wechselmedien.
Bauen Sie eine Timeline. Die FILETIMEs des Headers sind die Momentaufnahme der Ziel-Metadaten des Links. Kombinieren Sie mit dem eigenen MFT-Eintrag des Links für die Linkschreibzeit und dem USN-Journal für Erstellungs-/Löschereignisse am Link selbst.
Querverweise. Prefetch, ShimCache, AmCache, Jumplist DestList-Zeilen, Office-MRUs, Browserverlauf. Die stärksten Behauptungen haben mindestens zwei Quellen.

Was der Parser offenlegt

Der Parser auf dieser Seite dekodiert jedes obige Feld. Die Inspektion läuft lokal in WebAssembly, nützlich, wenn Sie eine schnelle Triage an einer Datei benötigen, die Ihnen jemand gerade per E-Mail geschickt hat, und Sie nicht möchten, dass NetBIOS-Name, MAC-abgeleitete GUID und Zielpfad die Maschine verlassen. Die Ausgabe gruppiert die Daten nach Abschnitt, Header, LinkTargetIDList, LinkInfo, StringData, jeder ExtraData-Block, sodass die Lektüre der Reihenfolge der Spezifikation entspricht.

Weiterführende Literatur

Microsofts [MS-SHLLINK]-Spezifikation, die Byte-Ebenen-Referenz.
Eric Zimmerman, LECmd, das Offline-Tool und de-facto-Ausgabeschema.
libyal, liblnk, Linux/macOS-Parser.
Der Jumplist-Parser für LNK-Streams in .automaticDestinations-ms- und .customDestinations-ms-Dateien.
Zur Bestätigung: MFT-Parser, USN-Parser, Prefetch-Parser, Registry-Parser, AmCache-Parser.