MENU

最近開いたファイルを調査しよう!【Shortcut Files編】

ブルーチーム
※当サイトはプロモーションが含まれています

こんにちは、ぎんたです。

IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。

  • 前回記事でRecent Filesについて解説していたけど、他にも同じように最近開いたファイルを確認できるアーティファクトはあるのかな?
  • インシデント調査に有用そうだから、他にも解析できそうなアーティファクトがあれば教えて?

ファイル操作に関するWindowsのアーティファクトは複数あります。

今回は、そのうちの一つであるショートカットファイルを解析して端末上で開かれたファイルを調査する方法について解説していきます。

スポンサーリンク

目次

Shortcut Filesの内容と解析対象の場所

Windowsは、ローカルまたはリモートで開いた各ファイルに対してショートカットファイルを作成します。

ショートカットファイルの表示

Windowsではファイルを作成したり開いたりすると、このような「.lnk」と拡張子が付いたショートカットファイルを作成する仕組みになっています。

ショートカットファイルを解析することで、

  • ファイルを最初に開いた時刻:ショートカットファイル(Lnkファイル)の作成日時
  • ファイルを最後に開いた時刻:ショートカットファイル(Lnkファイル)の最終更新日時
  • 開いたファイルのパスに関する情報
  • 開かれたファイル自身の更新・アクセス・作成日時

の情報を確認できます。

ショートカットファイルは、次の場所にあります。

C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\

C:\Users\<username>\AppData\Roaming\Microsoft\Office\Recent\

(Win7/8/10)

このアーティファクトを解析するツールですが、今回はEricZimmerman氏のツールにある「LECmd」を紹介します。

このツールは無料で公開されており、以下のリンクからダウンロードできます。

Eric Zimmerman’s toolsのダウンロードサイト

LECmdを使ったShortcut Filesの解析

LECmdでは、次のコマンドでショートカットファイルを解析することができます。

LECmd.exe -d <ショートカットファイルのディレクトリ> –csv <csvファイルの出力先>

コマンドプロンプトで実行した状況

LECmdコマンド例

解析した結果は、csvファイルとして保存されます。

解析結果のcsvファイルをExcelで開くと以下のようになります。

LECmd解析結果1
LECmd解析結果2

黄色でハイライトした3つのファイルを確認すると、

  • 該当のファイルを端末で12月2日13時ごろ(UTC)に開いている。
  • これらのファイルは「192.168.148.30」の端末上のshare(共有フォルダ)のN研究報告関連フォルダ内にある。
  • 共有フォルダ上のこれらのファイルは11月27日 15時ごろ(UTC)に作成されている。

ということが分かりますね。

ぎんた

SourceCreatedの項目が、最初に端末上で開かれた日時を表し、SourceModifiedの項目は、最後に端末上で開かれた日時をさすよ。
WorkingDirectoryがアクセスされたファイルのパスを表しているよ。

上記のように、解析結果の中に日本語が含まれている場合、そのままExcelで開くと文字化けする場合があります。

メモ帳などのアプリでcsvファイルを開き、「ファイル」→「名前を付けて保存」→エンコードの箇所を「ANSI」に設定して保存しなおすと、文字化けが解消されます。

ぎんた

端末上のファイルを消しても、過去開かれたショートカットファイルは残っていることが多いので、証拠隠滅事案のようなケースで効力を発揮するよ。

こころ

へー、カッコいい!クール!!

まとめ

今回は、ショートカットファイルを解析して端末上で開かれたファイルを調査する方法について解説しました。

振り返り
  • ショートカットファイルを解析することで、端末上で過去に開かれたファイルが判明する。
  • LECmdを用いてショートカットファイルを解析できる。
  • ファイルを最初に開いた日時・最後に開いた日時、ファイルの保存先などの情報が判明する。
  • 過去に開かれたファイル自体を削除しても、ショートカットファイルはそのまま残っているケースがあるので、事案によっては有用である。

以下の記事でも類似したアーティファクトについて解説しています。

最近開いたファイルを調査しよう!【Jump Lists編】
最近開いたファイルを調査しよう!【Recent Files編】
最近開いたフォルダを調査しよう!【ShellBags解析編】

以上、ぎんたでした。

サイバーセキュリティを学ぶ上で必要な攻撃と解析に関する他の記事は、以下のリンクで確認できます。

サイバーセキュリティ専門知識

学習に関しましては、以下のセキュリティの勉強法、おすすめの学習本・動画の記事が多くの方に読まれています。

おすすめセキュリティ勉強本27選【ホワイトハッカーを目指せ!】
Udemyのおすすめセキュリティ勉強講座20選【ホワイトハッカーを目指せ!】
セキュリティエンジニアになるにはどうする?おすすめの勉強法7選

資格の記事については以下の記事がおすすめです。

情報処理安全確保支援士よりも難しいと思うCISSPの難易度について
情報処理安全確保支援士に合格するための詳細な勉強法と参考書の使い方

ITエンジニアへの転職については以下の記事がおすすめです。

【30代】未経験業界からITエンジニアへの転職経験談

その他学習・転職関連に関しましては、以下の記事もあわせて読まれています。

学習・転職

ぜひご覧ください!

スポンサーリンク

ブルーチーム
よかったらシェアしてね!
目次