domingo, 10 de junio de 2007

Analizando archivos de Link

Para un análisis forense en el que me encuentro trabajando, tenía que probar que el sospechoso había utilizado un disquete que se encontró tirado cerca de la escena del crimen. Afortunadamente, esto resulto muy sencillo de hacer gracias a los metadatos que se encuentran en los archivos Link de Windows.

Los archivos Link no solo tienen el path completo del archivo destino, por ejemplo “A:\documentos\info.doc”, sino también el tamaño en bytes del documento y los tiempos de creación, modificación y último acceso de este.

Uno de los metadatos más interesantes es el “Volume Serial Number”, que es el código del volumen en donde un archivo o directorio ha sido guardado. Esto por ejemplo, nos permitiría identificar unívocamente que un archivo ha sido guardado en un disquete o pen-drive en particular.

Si a todo esto le sumamos que cada vez que abrimos un documento en Windows, un Link se crea en la carpeta “Recent”, podemos encontrar en los archivos Link una importante fuente probatoria para un análisis forense.

EnCase trae módulos para buscar y parsear archivos LNK automáticamente dentro de un caso, pero sino también pueden utilizar este programa que decodifica la información de estos archivos como se muestra a continuación:

No hay comentarios.:

LinkWithin