테크빅

핵심과 정보를 전하는 IT 전문 크리에이터

IT

LNK(바로가기) 파일의 개념과 분석 이유 [디지털포렌식]

테크빅 TECH BIC 2023. 11. 26. 07:30
반응형

바로가기 링크 이미지 표시

디지털 포렌식 관점에서 LNK(바로가기) 파일

오늘은 우리가 평소에 아무 생각 없이 사용하던 바로가기 파일이 어떻게 중요한 역할을 하는지, 그리고 포렌식 관점에서, 또는 해커들이 이를 어떻게 악용할 수 있는지 알아볼게요.


LNK 파일의 개념 및 의미

LNK 파일은 Windows 운영체제에서 사용하는 바로가기 파일이에요. 쉽게 말해 특정 파일, 폴더, 프로그램으로 가는 지름길을 만들어주는 파일이죠. 이 파일을 클릭하면 우리가 원했던 프로그램이나 파일이 딱 열리니까 편리하잖아요? LNK 파일의 구조 LNK 파일은 두 가지 중요한 부분으로 나뉘어요.


쉘링크 헤더와 링크 정보

쉘링크 헤더 (Shell Link Header)

  • Header Size: 헤더의 크기
  • Link CLSID: 링크의 종류를 식별하는 GUID
  • Link Flags: 링크의 속성 및 특성
  • File Attributes: 링크 대상 파일의 속성
  • Creation Time: 링크 생성 시간
  • Access Time: 링크 접근 시간
  • Write Time: 링크 쓰기 시간
  • File Size: 링크 대상 파일의 크기
  • Icon Index: 바로가기 아이콘의 인덱스
  • Show Command: 바로가기 실행 시 창의 상태

링크 정보 (Link Info)

  • Link Info Size: 링크 정보의 크기
  • Link Info Header Size: 링크 정보 헤더의 크기
  • Link Info Flags: 링크 정보의 속성
  • Volume ID Offset: 볼륨 식별자의 오프셋
  • Local Base Path Offset: 로컬 기준 경로의 오프셋
  • Common Network Relative Link Offset: 네트워크 기준 상대 링크의 오프셋
  • Common Path Prefix Offset: 공통 경로 접두사의 오프셋

이 구조들이 모두 모여 바로가기 파일이 어떻게 작동할지를 결정해요.


LNK(링크) 파일을 포렌식 하는 이유

그럼 왜 포렌식 분석가들이 이 바로가기 파일을 그렇게 중요하게 여길까요? 그건 다양한 이유가 있어요.

사용자 활동 기록 추적

LNK 파일은 사용자가 어떤 파일이나 프로그램을 언제, 어떻게 열었는지를 기록해요. 이를 통해 사용자의 활동 기록을 추적할 수 있죠. 예를 들어, 디지털 포렌식 분석가들은 LNK 파일을 통해 사용자가 어떤 파일을 언제 열었는지 파악할 수 있어요. 이는 범죄 수사나 내부 조사에서 중요한 단서가 될 수 있죠.

증거 수집 범죄 수사에서 디지털 증거를 수집하는 과정에서 LNK 파일은 중요한 단서를 제공할 수 있어요. 사용자가 어떤 파일을 열었는지 알 수 있으니까요. 이렇게 수집된 증거는 법정에서 중요한 역할을 할 수 있답니다.

사이버 공격 조사

LNK 파일은 악성 소프트웨어가 어떻게 퍼졌는지 추적하는 데 도움이 돼요. 이를 통해 사이버 공격의 경로를 파악할 수 있죠. 예를 들어, 해커가 특정 파일을 통해 악성 코드를 전파했다면, LNK 파일을 분석해 그 경로를 추적할 수 있어요. 사용자 행동 패턴 파악 LNK 파일은 사용자가 파일과 폴더에 어떻게 접근하는지에 대한 패턴을 보여줘요.

이를 통해 사용자의 행동을 분석할 수 있답니다. 이러한 행동 분석은 내부자 위협을 감지하는 데도 유용해요. 시스템 해킹 감지 특정 파일이나 폴더에 빈번한 접근이 있다면, 이는 시스템 해킹의 징후일 수 있어요. LNK 파일을 분석하면 이러한 불법 접근을 추적할 수 있어요. 예를 들어, 해커가 특정 파일에 자주 접근했다면, 이는 백도어 설치의 신호일 수 있답니다.

증거 연속성 구축

디지털 포렌식에서는 증거의 일관성과 연속성이 중요해요. LNK 파일은 다른 디지털 증거와 결합되어 사건의 전체적인 그림을 그리는 데 도움이 돼요. 이렇게 구축된 증거 연속성은 법정에서 강력한 증거로 사용될 수 있어요.


결론

LNK 파일은 일상에서 자주 사용하는 파일이지만, 디지털 포렌식에서는 중요한 단서가 될 수 있어요. 또한 해커들은 이 파일을 악용해 우리를 속이거나 데이터를 훔칠 수 있기 때문에, 우리는 항상 주의해야 해요.

포렌식 분석가들은 LNK 파일을 통해 사용자의 활동 기록을 추적하고, 사이버 공격의 경로를 파악하게 되며 증거를 수집해요. 따라서 LNK 파일 분석은 디지털 포렌식에서 매우 중요한 역할을 한답니다.

반응형