6 款分析 Windows LNK 快捷方式文件的免费工具

大多数计算机用户都知道您计算机上的某些位置可以存储有关您所做操作的信息。Web 浏览器历史是每个人都知道可以存储计算机和个人数据的一个区域。在 Windows 中,还有其他不太知名的地方可以记录您不一定期望的信息。有些用于查找取证数据和确定某些文件的历史记录。其中之一是不起眼的 Windows .LNK 快捷方式文件。
从表面上看,一个简单的快捷方式是一个指向另一个文件的小文件,例如从桌面启动程序的可执行文件。可以通过右键单击快捷方式并单击属性来获取有关快捷方式的一些详细信息。“快捷方式”选项卡显示目标文件所在的位置等内容,而“详细信息”选项卡将显示创建快捷方式的日期。但是,标准快捷方式比您想象的要多得多。
shortcut_properties.png
实际上,所有 .LNK 快捷方式文件都包含大量数据,这些数据可以识别创建它们的计算机以及它们当前所在的计算机。例如,在文件数据中,原始计算机的网络适配器 MAC 地址和名称与任何使用的网络路径一起存储。甚至可以查看创建它的驱动器的标签、类型和序列号。还有更多与时间和日期有关的数据可供查找。
如果您想查看快捷方式中存储了哪些数据,您将需要第三方工具来解码该信息,因为像十六进制编辑器之类的东西只会显示大部分乱码。这里有 5 个免费工具供您试用。

👍👍👍LECmd👍👍👍

虽然 LECmd 是一个命令行工具,但它确实需要 .NET Framework 4.6 才能运行,因此除 Windows 10 用户之外的所有人都需要安装它。该工具没有太多参数,您只需在命令提示符中键入 lecmd.exe 即可查看可用的内容。要获取单个 .LNK 文件的数据,请使用 -f 或 -d 来处理文件目录。

  1. lecmd -f [path\]shortcut.lnk
  2. lecmd -d path

shortcut_properties.png
LECmd 能够将信息直接输出到 CSV、XML、HTML 或 JSON 文件。提供一个或多个参数 —[html/csv/xml/json] 和目标目录来保存每个文件。为一个包含快捷方式的大文件夹添加 -q 以跳过输出到控制台并减少处理时间:

  1. lecmd -d [path] --html C:\html --xml C:\xml --csv C:\csv -q

输出很详细,并显示了一些非常高级的信息,例如路径和文件访问和创建日期、图标索引和窗口信息、硬盘驱动器类型/序列号/标签、网络共享信息、机器 ID、MAC 地址和网络适配器供应商。

Lnkanalyser

在易用性方面,Lnkanalyser 与命令行工具一样简单。它在文件资源管理器中的详细信息选项卡之上显示的信息量是相当合理的,尽管此处列出的其他一些工具可以显示更多信息。唯一需要的参数是提供 .LNK 文件的路径和文件名:

  1. lnkanalyser -i [path\]shortcut.lnk

lnkanalyser.png
显示快捷方式及其引用的文件的路径和日期/时间的正常信息。此外,您可以查看通常隐藏的详细信息,例如原始时间戳、创建快捷方式的驱动器的名称、序列号和类型、创建快捷方式的计算机名称、网络路径/名称以及 MAC 地址原始计算机上的网络适配器。

Windows File Analyzer

顾名思义,Windows 文件分析器是一种专用工具,用于收集有关计算机上特定文件的各种信息。这包括缩略图、Windows Prefetch 文件、Index.DAT 文件、回收站文件和 lnk 快捷方式。该程序是多标签的,因此您可以一次打开多个分析过程。它也是一个可移植的独立可执行文件。
shortcut_properties.png
单击绿色/黄色按钮或“文件”菜单中的选项以分析一些快捷方式,浏览文件夹并显示所有 .LNK 快捷方式的列表。该窗口将提供标准详细信息,如创建、写入和访问日期以及更高级的数据,如硬盘名称和序列号、计算机名称和网卡 MAC 地址。双击以在框中获取相同的信息。单击以展开条目还可以为文件路径中的所有文件夹提供创建日期。报告可以打印出来,但不能直接保存到文件中。

Link Parser(4Discovery )

Link Parser 由取证和安全公司 4Discovery 开发。它是一个简单且完全可移植的工具,可以从 lnk 快捷方式文件中读取大量信息。所有收集到的信息都可以保存到 CSV 文件中以供将来使用。我们在使用 Link Parser 时遇到的一个问题是文件打开选项似乎不起作用,因此必须使用打开文件夹。
linkparser.png
打开包含一些 .LNK 快捷方式文件的文件夹后,您将获得相当多的信息可供阅读。所有当前和原始文件创建日期和时间以及原始驱动器类型、驱动器名称、驱动器序列号、网络名称、相对路径和计算机名称等有用数据均可用。有趣的是,Link Parser 会显示当前的 VolumeID、ObjectID 和 MAC 地址,以及创建文件时的这些值。请注意,您必须关闭并重新打开程序才能清除窗口中的数据。

LNK Parser

LNK Parser 是另一个命令行工具,但它也可以在不手动输入命令的情况下使用。为此,双击 LNK Parser 可执行文件,将 .LNK 快捷方式或文件夹拖放到窗口上。可选择生成报告(如果您选择生成报告,请提供路径),回答几个简单的问题,如果要将输出发送到控制台窗口,请按 Y 或 N。您还可以通过在不带参数的命令提示符中直接键入 lnk_parser_cmd 来获得相同的步骤:
linkparser.png
命令行选项与向导步骤的手动参数基本相同:

  1. lnk_parser_cmd -o [save report path] -w (html report) -c (csv report) path[\shortcut.lnk]

信息量与此处的其他工具相似,您可以获得更基本的数据以及隐藏的数据。这包括源驱动器详细信息、NetBIOS 名称、MAC 地址、具有创建和访问日期/时间的文件夹路径属性以及所有文件夹 ID 数据。

LNK File Previewer

LNK 文件预览器是该工具的免费软件版本,取自商业 Simple Carver Suite 取证软件。该程序现在可以追溯到 2008 年,但似乎运行良好。一个小问题是文件夹内的所有文件都显示在用户界面中,如果不是 .LNK 快捷方式,则只会显示为无效文件。LNK 文件预览器是可移植的,但带有 RAR 存档,因此您需要 7-Zip 或 WinRAR 之类的东西来解压缩它。
shortcut_properties.png
要读取文件夹中所有快捷方式的数据,请转到Process > Folder并找到目标位置。在此之前,可以选择取消选中窗口底部的递归子文件夹,以免下层查找文件。显示的数据量不如某些工具多,但您仍然可以获得有用的详细信息,例如 MAC 地址、计算机名称、网络路径、硬盘类型、序列号和名称,以及一些有用的日期。单击条目可显示以下基本详细信息。所有已处理文件的所有信息都可以导出为 CSV 文件。

提示

如果某个命令行工具为您提供了更好的信息,但您并不喜欢每次都使用命令提示符来使用它,那么有一个简单的解决方案。创建一个小批处理文件并将快捷方式放到 .BAT 文件图标上。作为一个附加选项,在记事本中自动打开结果。例如,使用 Lnkanalyser 您可以创建如下内容:

  1. @echo off
  2. lnkanalyser -i %~1 >%temp%\lnkfile.txt
  3. Notepad %temp%\lnkfile.txt

将文件另存为 batchname.BAT 并在其上放置一个快捷方式。结果将输出到 TEMP 文件夹中的 lnkfile.txt,然后记事本将打开文本文件。您当然可以将结果发送到程序中的 CSV 或 HTML 文件,而不是打开记事本。简单但有效。