#رمضانيات_DFIR
15 رمضان - LNK 🔗
هذا ال artifact مستخدم بشكل كبير في ال windows. ال LNK عبارة عن إختصار لبرنامج, ملف, مجلد, إل. المخترقين يستخدمون ملفات ال LNK عشان يقدرون ينفذون أوامر خبيثة بأنهم يستخدمون التصيد عشان يخدعون المستخدم أنه يشغل ملف LNK خبيث
#DFIR #BlueTeam
15 رمضان - LNK 🔗
هذا ال artifact مستخدم بشكل كبير في ال windows. ال LNK عبارة عن إختصار لبرنامج, ملف, مجلد, إل. المخترقين يستخدمون ملفات ال LNK عشان يقدرون ينفذون أوامر خبيثة بأنهم يستخدمون التصيد عشان يخدعون المستخدم أنه يشغل ملف LNK خبيث
#DFIR #BlueTeam
ملفات ال LNK مالها مكان محدد في الجهاز. لاكن, المجلد C:\Users\<USERNAME>\AppData\Roaming\Microsoft\Windows\Recent يحتوي على اخر الملفات و المجلدات الي أشتغلت
هذا المجلد مفيت جدا, تقدر تطلع الملفات و المجلدات الي دخل عليها المخترق و أهم منها, معلومات الملفات الي مسويها
هذا المجلد مفيت جدا, تقدر تطلع الملفات و المجلدات الي دخل عليها المخترق و أهم منها, معلومات الملفات الي مسويها
أهم المعلومات الي تقدر تطلعها من ملفات ال LNK
- ال MAC times للملف الأصلي
- ال full path للملف الأصلي
- حجم الملف الأصلي
- أسم الجهاز الي مسوي في ملف ال LNK
هذي كل المعلومات الي تقدر تطلعها من ملف LNK واحد, ادري مرة كثيرة 😅
- ال MAC times للملف الأصلي
- ال full path للملف الأصلي
- حجم الملف الأصلي
- أسم الجهاز الي مسوي في ملف ال LNK
هذي كل المعلومات الي تقدر تطلعها من ملف LNK واحد, ادري مرة كثيرة 😅
تقدر تتعرف على ملفات ال LNK بصورة سهم صغير في الجزء السفلي لصورة الملف, زي مو موضح في الصورة
خلينا نسوي ملف LNK ينفذ أمر. في هذا المثال بشغل calc بس قد يكون أي أمر تبيه. أغلب المخترقين يستخدمون PowerShell
هذي بعض ال parsers لل LNK artifact
- lnk_parser (مستخدم في هذي الثريد) - github.com
- LECmd - ericzimmerman.github.io
- lnk_parser (مستخدم في هذي الثريد) - github.com
- LECmd - ericzimmerman.github.io
جاري تحميل الاقتراحات...