Analyse d'Artefact : Fichiers LNK (Raccourcis Windows)
1. Aperçu technique et mécanique de création
Section intitulée « 1. Aperçu technique et mécanique de création »La philosophie principale derrière les fichiers LNK est le confort de l’utilisateur. Bien que les utilisateurs puissent créer manuellement des raccourcis sur leur bureau, la véritable valeur forensique réside dans les fichiers générés automatiquement par le système d’exploitation Windows.
Lorsqu’un utilisateur ouvre un fichier non exécutable (ex: un document .pdf, un fichier .docx ou une image .jpg) ou accède à un dossier distant via l’Explorateur Windows, l’OS génère automatiquement un fichier LNK correspondant pour peupler le menu “Éléments récents”.
Emplacements de l’artefact
Section intitulée « Emplacements de l’artefact »- Créés par l’utilisateur : dispersés sur le système de fichiers, principalement sur le Bureau (
Desktop) ou dans des répertoires personnalisés. - Générés par le système (La cible DFIR) :
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\
2. La charge de données (Le “Témoin bavard”)
Section intitulée « 2. La charge de données (Le “Témoin bavard”) »Un fichier LNK brut est une structure binaire complexe. Lorsqu’il est décodé par des outils forensiques, il révèle une quantité impressionnante de métadonnées embarquées concernant le fichier cible, capturées au moment exact de la création du raccourci.
- Chemin du fichier cible : le chemin absolu du fichier d’origine.
- Horodatages figés de la cible : les dates de création, de modification et de dernier accès du fichier cible. Fait crucial, ces horodatages sont “figés” (gelés) à l’intérieur du fichier LNK. Même si un attaquant modifie ou supprime le fichier d’origine, le fichier LNK conserve les métadonnées du fichier telles qu’elles existaient lors de l’interaction.
- Horodatages du LNK :
- Date de création du LNK = la première fois que l’utilisateur a ouvert le fichier cible.
- Date de modification du LNK = la dernière fois que l’utilisateur a ouvert le fichier cible.
- Taille du fichier cible : la taille exacte en octets du fichier d’origine.
- Informations sur le volume :
- Type de lecteur : fixe (disque dur), réseau, ou amovible (clé USB).
- Numéro de série du volume (VSN) : un identifiant unique attribué au disque lors de son formatage.
- Nom du volume : le “label” lisible par l’humain du lecteur (ex:
KINGSTON).
- Traçage réseau et machine (Bloc TrackerData) : si le fichier cible résidait sur un partage réseau, le fichier LNK stocke le nom NetBIOS et l’adresse MAC de la machine distante hébergeant le fichier.
3. Valeur forensique en réponse aux incidents
Section intitulée « 3. Valeur forensique en réponse aux incidents »Les fichiers LNK répondent à la question DFIR critique : “L’utilisateur ou l’attaquant a-t-il réellement interagi avec ce fichier ou ce répertoire spécifique ?”
A. Prouver l’existence de fichiers supprimés
Section intitulée « A. Prouver l’existence de fichiers supprimés »C’est le super-pouvoir de l’analyse LNK. Un attaquant peut télécharger un script malveillant, l’exécuter, puis le supprimer immédiatement pour couvrir ses traces. Bien que le script ait disparu, le fichier LNK généré automatiquement lors de sa première ouverture reste dans le dossier Recent. Cela fournit une preuve irréfutable de l’existence passée du fichier, de son chemin exact et de sa taille.
B. Traquer les vecteurs d’infection (Clés USB)
Section intitulée « B. Traquer les vecteurs d’infection (Clés USB) »Si un analyste découvre un fichier LNK pointant vers une charge utile malveillante connue (ex: facture.exe), et que les informations de volume intégrées au LNK indiquent un type de lecteur “Média amovible”, le vecteur d’accès initial est définitivement prouvé comme étant une clé USB. Le numéro de série du volume (VSN) peut ensuite être utilisé pour traquer la clé USB physique spécifique au sein de l’organisation.
C. Retracer le mouvement latéral et l’exfiltration
Section intitulée « C. Retracer le mouvement latéral et l’exfiltration »Les fichiers LNK sont créés lorsque des documents sont accédés sur des partages réseau (\\SERVEUR\Partage\document.docx). En analysant les fichiers LNK sur un poste de travail compromis, les analystes peuvent cartographier exactement quels serveurs internes l’attaquant a parcourus.
L’extraction de l’adresse MAC depuis le bloc TrackerData du LNK permet aux analystes d’identifier formellement le serveur cible, même si les adresses IP ont changé.
4. Outils DFIR et analyse (Parsing)
Section intitulée « 4. Outils DFIR et analyse (Parsing) »Les fichiers LNK étant binaires, l’analyse manuelle via un éditeur hexadécimal est inefficace. Les équipes DFIR s’appuient sur des parseurs automatisés pour extraire les métadonnées dans des formats structurés.
:: LECmd (LNK Explorer Command Line) est le parseur standard de l'industrie.:: Il traite un LNK unique ou un répertoire entier, exportant les métadonnées vers un CSV.
LECmd.exe -d "C:\Forensics\Export\Users\Admin\AppData\Roaming\Microsoft\Windows\Recent" --csv "C:\Forensics\Results" --csvf lnk_analysis.csv// Chasse à la création de fichiers LNK dans des répertoires suspects (ex: dossier Démarrage pour la persistance)DeviceFileEvents| where ActionType == "FileCreated"| where FileName endswith ".lnk"| where FolderPath has_any ("\\Start Menu\\Programs\\Startup\", "\\Users\\Public\")| project TimeGenerated, DeviceName, InitiatingProcessFileName, FolderPath, FileName| sort by TimeGenerated descRéférences et lectures complémentaires
Section intitulée « Références et lectures complémentaires »- SANS Institute : Windows Forensic Analysis
- Outils d’Eric Zimmerman : Dépôt GitHub LECmd
- Artefact lié : Jumplists et utilisation des applications
- Artefact lié : Reconstitution de la navigation avec les Shellbags
- Artefact lié : Analyse d’exécution via le Prefetch (.pf)