La plupart des utilisateurs d'ordinateurs savent que certains emplacements de votre ordinateur peuvent stocker des informations sur ce que vous avez fait. L'historique du navigateur Web est un domaine que tout le monde sait pouvoir stocker des données informatiques et personnelles. Dans Windows, il existe d'autres endroits moins connus qui peuvent enregistrer des informations auxquelles vous ne vous attendez pas nécessairement. Certains sont utilisés lors de la recherche de données médico-légales et de la détermination de l'historique de certains fichiers. L'un de ces domaines est l'humble fichier de raccourci Windows .LNK.
À première vue, un simple raccourci est un petit fichier qui pointe vers un autre fichier, tel qu'un exécutable pour lancer un programme à partir de votre bureau. Certains détails sur le raccourci peuvent être obtenus en faisant un clic droit dessus et en cliquant sur Propriétés. L'onglet Raccourci affiche des éléments tels que l'emplacement du fichier cible tandis que l'onglet Détails affiche la date de création du raccourci. Mais il y a bien plus qu'un raccourci standard que vous ne le pensez.
En fait, tous les fichiers de raccourcis .LNK contiennent de grandes quantités de données qui identifient l'ordinateur sur lequel ils ont été créés ainsi que l'ordinateur sur lequel ils se trouvent actuellement. Par exemple, dans les données du fichier, l'adresse MAC de la carte réseau et le nom de l'ordinateur d'origine sont stockés avec tous les chemins réseau utilisés. Même l'étiquette, le type et le numéro de série du lecteur sur lequel il a été créé sont visibles. Il existe également beaucoup plus de données relatives aux heures et aux dates.
Si vous voulez voir quelles données sont stockées dans vos raccourcis, vous aurez besoin d'un outil tiers pour décoder ces informations car quelque chose comme un éditeur hexadécimal affichera simplement du charabia. Voici 5 outils gratuits à essayer. 1. Lnkanalyser
En termes de facilité d'utilisation, Lnkanalyser est à peu près aussi simple que pour un outil en ligne de commande. La quantité d'informations qu'il affiche au-delà de l'onglet Détails dans l'Explorateur de fichiers est tout à fait raisonnable, bien que certains autres outils répertoriés ici puissent en afficher plus. Le seul argument nécessaire est de fournir le chemin et le nom de fichier du fichier .LNK.
lnkanalyser -i [chemin \] raccourci.lnk
Les informations normales pour les chemins et les dates / heures du raccourci et le fichier auquel il fait référence sont affichées. En outre, vous pouvez afficher des détails normalement masqués tels que les horodatages d'origine, le nom, le numéro de série et le type de lecteur sur lequel le raccourci a été créé, le nom de l'ordinateur sur lequel il a été créé, le chemin d'accès / le nom du réseau ainsi que l'adresse MAC du carte réseau sur l'ordinateur d'origine.
Télécharger lnkanalyser
2. Analyseur de fichiers Windows
Comme son nom l'indique, Windows File Analyzer est un outil dédié pour rassembler toutes sortes d'informations sur des fichiers spécifiques sur votre ordinateur. Cela inclut les miniatures, les fichiers Windows Prefetch, les fichiers Index.DAT, les fichiers de la corbeille et les raccourcis lnk. Le programme est à onglets multiples, vous pouvez donc ouvrir plusieurs processus d'analyse à la fois. C'est également un exécutable autonome portable.
Cliquez sur le bouton vert / jaune ou sur l'option du menu Fichier pour analyser certains raccourcis, recherchez le dossier et une liste de tous les raccourcis .LNK apparaîtra. La fenêtre donnera des détails standard comme les dates de création, d'écriture et d'accès ainsi que les données plus avancées comme le nom du disque dur et la série, le nom de l'ordinateur et l'adresse MAC de la carte réseau. Double-cliquez pour obtenir les mêmes informations dans une boîte. Cliquer pour développer l'entrée peut également donner des dates de création pour tous les dossiers dans le chemin d'accès au fichier. Les rapports peuvent être imprimés mais pas directement enregistrés dans un fichier.
Télécharger Windows File Analyzer
3. LECmd
Bien que LECmd soit un outil en ligne de commande, il nécessite .NET Framework 4.6 pour fonctionner, donc toute personne autre que les utilisateurs de Windows 10 devra l'avoir installé. L'outil n'a pas trop d'arguments et vous pouvez afficher ce qui est disponible en tapant simplement lecmd.exe dans l'invite de commandes. Pour obtenir des données pour un seul fichier .LNK, utilisez -f ou -d pour traiter un répertoire de fichiers.
lecmd -f [chemin \] raccourci.lnk
lecmd -d chemin
LECmd a la capacité de sortir les informations directement dans un fichier CSV, XML, HTML ou JSON. Fournissez un ou plusieurs arguments - [html / csv / xml / json] et le répertoire cible pour enregistrer chaque fichier. Ajoutez -q pour un grand dossier plein de raccourcis pour ignorer la sortie vers la console et réduire le temps de traitement.
lecmd -d [chemin] --html C: \ html --xml C: \ xml --csv C: \ csv -q
La sortie est détaillée et affiche des informations assez avancées telles que le chemin d'accès et le fichier, les dates de création et d'index des icônes, le type de disque dur / série / étiquette, les informations de partage réseau, l'ID de la machine, l'adresse MAC et le fournisseur de l'adaptateur réseau.
Télécharger LECmd
4. Analyseur de liens
Link Parser est de la firme de criminalistique et de sécurité 4Discovery. C'est un outil simple et entièrement portable pour lire une quantité importante d'informations à partir d'un fichier de raccourci lnk. Toutes les informations recueillies peuvent être enregistrées dans un fichier CSV pour une utilisation future. Un problème que nous avons rencontré lors de l'utilisation de Link Parser était que l'option d'ouverture de fichier ne semblait pas fonctionner, donc l'ouverture d'un dossier devra être utilisée à la place.
Après avoir ouvert un dossier contenant des fichiers de raccourcis .LNK, vous obtiendrez pas mal d'informations à lire. Toutes les dates et heures de création de fichiers actuelles et originales sont disponibles ainsi que des données utiles telles que le type de lecteur d'origine, le nom du lecteur, le numéro de série du lecteur, le nom du réseau, le chemin d'accès relatif et le nom de l'ordinateur. Fait intéressant, Link Parser affiche les adresses VolumeID, ObjectID et MAC actuelles ainsi que ces valeurs lors de la création du fichier. Notez que vous devrez fermer et rouvrir le programme pour effacer les données de la fenêtre.
Télécharger Link Parser
5. Analyseur LNK
LNK Parser est un autre outil en ligne de commande, mais il peut également être utilisé sans taper manuellement les commandes. Pour ce faire, double-cliquez sur l'exécutable de l'analyseur LNK, déposez un raccourci ou un dossier .LNK dans la fenêtre. Générez éventuellement un rapport (indiquez le chemin si vous avez choisi de générer un rapport), répondez à quelques questions simples et appuyez sur O ou N si vous souhaitez que la sortie soit envoyée à la fenêtre de la console. Vous obtiendrez également les mêmes étapes en tapant lnk_parser_cmd directement dans l'invite de commande sans arguments.
Les options de ligne de commande sont essentiellement les mêmes arguments manuels pour les étapes de l'assistant.
lnk_parser_cmd -o [enregistrer le chemin du rapport] -w (rapport html) -c (rapport csv) chemin [\ shortcut.lnk]
La quantité d'informations est similaire à d'autres outils ici et vous obtenez les données les plus basiques ainsi que les données cachées. Cela inclut les détails du lecteur source, le nom NetBIOS, l'adresse MAC, les attributs de chemin d'accès au dossier avec les dates / heures créées et accessibles et toutes les données d'ID de dossier.
Télécharger LNK Parser
6. LNK File Previewer
LNK File Previewer est une version gratuite de l'outil extraite du logiciel judiciaire Simple Carver Suite commercial. Le programme est un peu vieux et date de 2008 mais semble bien fonctionner. Un problème mineur est que tous les fichiers d'un dossier sont affichés dans l'interface utilisateur et s'ils ne le sont pas, les raccourcis .LNK s'afficheront simplement comme un fichier non valide. LNK File Previewer est portable mais est livré dans une archive RAR, vous aurez donc besoin de quelque chose comme 7-Zip ou WinRAR pour le décompresser.
Pour lire les données de tous les raccourcis d'un dossier, accédez à Processus> Dossier et recherchez l'emplacement cible. Avant cela, décochez éventuellement les sous-dossiers Recurse en bas de la fenêtre pour ne pas descendre dans les calques à la recherche de fichiers. La quantité de données affichées n'est pas autant que certains outils, mais vous obtenez toujours des détails utiles comme l'adresse MAC, le nom de l'ordinateur, le chemin réseau, le type de disque dur, la série et le nom, et quelques dates utiles. Cliquez sur une entrée pour afficher les détails de base ci-dessous. Toutes les informations de tous les fichiers traités peuvent être exportées vers un fichier CSV.
Télécharger LNK File Previewer
Conseil: Si l'un des outils de ligne de commande vous fournit de meilleures informations mais que vous n'aimez pas vraiment utiliser l'invite de commande à chaque fois pour l'utiliser, il existe une solution simple. Créez un petit fichier de commandes et déposez le raccourci sur l'icône du fichier .BAT. En option supplémentaire, ouvrez automatiquement les résultats dans le Bloc-notes. Par exemple, en utilisant Lnkanalyser, vous pouvez créer quelque chose comme ceci:
@Écho off
lnkanalyser -i% ~ 1>% temp% \ lnkfile.txt
Bloc-notes% temp% \ lnkfile.txt
Enregistrez le fichier sous batchname.BAT et déposez-y un raccourci. Les résultats seront affichés dans lnkfile.txt dans le dossier TEMP, puis le Bloc-notes ouvrira le fichier texte. Vous pouvez bien sûr envoyer les résultats vers un fichier CSV ou HTML dans le programme au lieu d'ouvrir le Bloc-notes. Simple mais efficace.
