La mayoría de los usuarios de computadoras sabrán que ciertas ubicaciones en su computadora pueden almacenar información sobre lo que ha hecho. El historial del navegador web es un área que todo el mundo sabe que puede almacenar datos personales y de computadora. En Windows hay otros lugares menos conocidos que pueden registrar información que no necesariamente esperarías. Algunos se usan cuando se buscan datos forenses y se determina el historial de ciertos archivos. Una de esas áreas es el humilde archivo de acceso directo de Windows .LNK.
A primera vista, un acceso directo simple es un pequeño archivo que apunta a otro archivo, como un ejecutable para iniciar un programa desde su escritorio. Se pueden obtener algunos detalles sobre el acceso directo haciendo clic derecho sobre él y haciendo clic en Propiedades. La pestaña Acceso directo muestra cosas como dónde se encuentra el archivo de destino, mientras que la pestaña Detalles mostrará la fecha en que se creó el acceso directo. Pero hay mucho más en un atajo estándar de lo que piensas.
En realidad, todos los archivos de acceso directo .LNK contienen grandes cantidades de datos que identifican la computadora en la que fueron creados, así como la computadora en la que se encuentran actualmente. Por ejemplo, dentro de los datos del archivo, la dirección MAC del adaptador de red y el nombre de la computadora original se almacenan junto con cualquier ruta de red utilizada. Incluso se puede ver la etiqueta, el tipo y el número de serie de la unidad en la que se creó. También hay muchos más datos relacionados con horas y fechas que se encuentran.
Si desea ver qué datos se almacenan dentro de sus accesos directos, necesitará una herramienta de terceros para decodificar esa información, ya que algo así como un editor hexadecimal mostrará principalmente galimatías. Aquí hay 5 herramientas gratuitas para que pruebes. 1. Lnkanalyser
En términos de facilidad de uso, Lnkanalyser es tan simple como lo es para una herramienta de línea de comandos. La cantidad de información que muestra más allá de la pestaña Detalles en el Explorador de archivos es bastante razonable, aunque algunas otras herramientas enumeradas aquí pueden mostrar más. El único argumento necesario es proporcionar la ruta y el nombre de archivo del archivo .LNK.
lnkanalyser -i [ruta \] acceso directo.lnk
Se muestra información normal para las rutas y fechas / horas del acceso directo y el archivo al que hace referencia. Además, puede ver detalles normalmente ocultos, como las marcas de tiempo originales, el nombre, el número de serie y el tipo de unidad en la que se creó el acceso directo, el nombre de la computadora en la que se creó, la ruta / nombre de red y también la dirección MAC del adaptador de red en la computadora original.
Descargar lnkanalyser
2. Analizador de archivos de Windows
Como su nombre lo indica, Windows File Analyzer es una herramienta dedicada para recopilar todo tipo de información sobre archivos específicos en su computadora. Eso incluye miniaturas, archivos Prefetch de Windows, archivos Index.DAT, archivos de Papelera de reciclaje y accesos directos a enlaces. El programa tiene múltiples pestañas para que pueda tener varios procesos de análisis abiertos a la vez. También es un ejecutable independiente portátil.
Haga clic en el botón verde / amarillo o en la opción en el menú Archivo para analizar algunos accesos directos, busque la carpeta y aparecerá una lista de todos los accesos directos .LNK. La ventana proporcionará detalles estándar como las fechas creadas, escritas y accedidas junto con los datos más avanzados como el nombre del disco duro y el número de serie, el nombre de la computadora y la dirección MAC de la tarjeta de red. Haga doble clic para obtener la misma información en un cuadro. Hacer clic para expandir la entrada también puede proporcionar fechas de creación para todas las carpetas en la ruta del archivo. Los informes pueden imprimirse pero no guardarse directamente en un archivo.
Descargar Windows File Analyzer
3. LECmd
Aunque LECmd es una herramienta de línea de comandos, requiere .NET Framework 4.6 para funcionar, por lo que todos los usuarios que no sean Windows 10 deberán haberlo instalado. La herramienta no tiene demasiados argumentos y puede ver lo que está disponible simplemente escribiendo lecmd.exe en el símbolo del sistema. Para obtener datos para un solo archivo .LNK, use -f o -d para procesar un directorio de archivos.
lecmd -f [ruta \] acceso directo.lnk
lecmd -d ruta
LECmd tiene la capacidad de enviar la información directamente a un archivo CSV, XML, HTML o JSON. Proporcione uno o más de los argumentos: [html / csv / xml / json] y el directorio de destino para guardar cada archivo. Agregue -q para una carpeta grande llena de accesos directos para omitir la salida a la consola y disminuir el tiempo de procesamiento.
lecmd -d [ruta] --html C: \ html --xml C: \ xml --csv C: \ csv -q
El resultado es detallado y muestra información bastante avanzada, como la ruta y el archivo al que se accedió y las fechas creadas, el índice del icono y la información de la ventana, el tipo de disco duro / serie / etiqueta, la información de red compartida, la ID de la máquina, la dirección MAC y el proveedor del adaptador de red.
Descargar LECmd
4. Analizador de enlaces
Link Parser es de la firma forense y de seguridad 4Discovery. Es una herramienta simple y completamente portátil para leer una cantidad considerable de información de un archivo de acceso directo de lnk. Toda la información recopilada se puede guardar en un archivo CSV para uso futuro. Un problema que encontramos al usar Link Parser fue que la opción de abrir archivo no parecía funcionar, por lo que deberá abrir una carpeta.
Después de abrir una carpeta que contiene algunos archivos de acceso directo .LNK, obtendrá bastante información para leer. Todas las fechas y horas de creación de archivos actuales y originales están disponibles junto con datos útiles como el tipo de unidad original, el nombre de la unidad, el número de serie de la unidad, el nombre de red, la ruta relativa y el nombre de la computadora. Curiosamente, Link Parser muestra el VolumeID actual, ObjectID y la dirección MAC y también esos valores cuando se creó el archivo. Tenga en cuenta que tendrá que cerrar y volver a abrir el programa para borrar los datos de la ventana.
Descargar Link Parser
5. LNK Parser
LNK Parser es otra herramienta de línea de comandos, pero también se puede usar sin escribir comandos manualmente. Para hacer eso, haga doble clic en el ejecutable LNK Parser, suelte un acceso directo o carpeta .LNK en la ventana. Opcionalmente, genere un informe (proporcione la ruta si seleccionó generar un informe), responda un par de preguntas simples y presione S o N si desea que la salida se envíe a la ventana de la consola. También obtendrá los mismos pasos escribiendo lnk_parser_cmd directamente en el símbolo del sistema sin argumentos.
Las opciones de la línea de comandos son básicamente los mismos argumentos manuales para los pasos del asistente.
lnk_parser_cmd -o [guardar ruta del informe] -w (informe html) -c (informe csv) ruta [\ shortcut.lnk]
La cantidad de información es similar a otras herramientas aquí y obtienes los datos más básicos, así como los datos ocultos. Esto incluye detalles de la unidad de origen, nombre de NetBIOS, dirección MAC, atributos de ruta de carpeta con fechas / horas creadas y accedidas y todos los datos de ID de carpeta.
Descargar LNK Parser
6. Vista previa de archivos LNK
LNK File Previewer es una versión gratuita de la herramienta tomada del software forense comercial Simple Carver Suite. El programa es un poco antiguo y data de 2008, pero parece funcionar bien. Un problema menor es que todos los archivos dentro de una carpeta se muestran en la interfaz de usuario y si no son accesos directos .LNK solo se mostrarán como un archivo no válido. LNK File Previewer es portátil pero viene en un archivo RAR, por lo que necesitará algo como 7-Zip o WinRAR para descomprimirlo.
Para leer los datos de todos los accesos directos en una carpeta, vaya a Proceso> Carpeta y busque la ubicación de destino. Antes de eso, opcionalmente desmarque Recurse Sub-Folders en la parte inferior de la ventana para no bajar las capas en busca de archivos. La cantidad de datos que se muestra no es tanto como algunas herramientas, pero aún obtiene detalles útiles como la dirección MAC, el nombre de la computadora, la ruta de red, el tipo de disco duro, el número de serie y el nombre, y algunas fechas útiles. Al hacer clic en una entrada, se muestran los detalles básicos a continuación. Toda la información para todos los archivos procesados se puede exportar a un archivo CSV.
Descargar LNK File Previewer
Sugerencia: Si una de las herramientas de línea de comandos le proporciona una mejor información pero realmente no le gusta usar el Símbolo del sistema cada vez que lo usa, hay una solución simple. Cree un pequeño archivo por lotes y suelte el acceso directo en el icono del archivo .BAT. Como opción adicional, abra los resultados automáticamente en el Bloc de notas. Por ejemplo, usando Lnkanalyser puedes crear algo como esto:
@echo off
lnkanalyser -i% ~ 1>% temp% \ lnkfile.txt
Bloc de notas% temp% \ lnkfile.txt
Guarde el archivo como batchname.BAT y suelte un acceso directo sobre él. Los resultados se enviarán a lnkfile.txt en la carpeta TEMP y luego el Bloc de notas abrirá el archivo de texto. Por supuesto, puede enviar los resultados a un archivo CSV o HTML dentro del programa en lugar de abrir el Bloc de notas. Simple pero efectivo.
