Skip to content
Notes
Digital Forensics
Windows Forensics
Lnk Files

Lnk Files

LNK Files (atau Windows Shortcut) adalah file biner yang berfungsi sebagai penunjuk (pointer) ke file, folder, atau aplikasi lain dalam sistem operasi Windows. Meskipun sering dibuat secara manual oleh pengguna untuk akses cepat di desktop, Windows juga secara otomatis membuat file-file ini di latar belakang setiap kali pengguna berinteraksi dengan sebuah file.

Note

Perspektif Forensik: LNK file adalah artefak “Shell Item” yang sangat berharga karena menyimpan metadata kaya tentang file target, bahkan jika file asli tersebut sudah dihapus dari sistem.

FieldValue
Location / Path
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
FormatBinary (Shell Item)
Header Signature4C 00 00 00 01 14 02 00 (Hex)
PurposeMenyediakan akses cepat ke file/folder dan melacak aktivitas akses pengguna secara otomatis.
Forensic ValueSangat Tinggi; membuktikan keberadaan file historis, waktu akses pertama/terakhir, dan informasi perangkat asal.
Example

Lokasi LNK Files

Selain di folder Recent standar, investigator dapat menemukan LNK files di beberapa lokasi strategis berikut:

  • Recent Items Utama: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent.
  • Microsoft Office Recent: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recent\ (khusus untuk dokumen Office).
  • Folder Unduhan: C:\Users\%USERNAME%\Downloads (sering berisi shortcut yang dikirim via email).
  • Startup Folder: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (lokasi kritis untuk persistensi malware).
  • Windows XP (Legacy): C:\Documents and Settings\%USERNAME%\Recent.

Anatomi & Metadata LNK Files

Sebuah LNK file bukan sekadar jalan pintas; ia menyimpan salinan metadata dari file targetnya pada saat shortcut tersebut dibuat atau diperbarui.

Metadata Utama yang Disimpan:

  • Target Path: Jalur lengkap ke file asli (misal: D:\Data\Rahasia.docx).
  • Timestamps (MAC): Waktu pembuatan, akses, dan modifikasi dari file target (bukan hanya shortcut-nya).
  • Volume Information: Nama volume, serial number drive, dan tipe drive (Fixed, Removable, Network Share).
  • Perangkat Asal: Alamat MAC (MAC Address) dari mesin tempat shortcut tersebut pertama kali dibuat.
  • File Size: Ukuran asli dari file target dalam satuan bytes.

Caution

Peringatan Volatilitas: Folder Recent biasanya dibatasi hingga 149 entri (atau 20 per ekstensi pada Windows 10+). Setelah mencapai batas ini, entri lama akan tertimpa oleh aktivitas baru. Selalu lakukan imaging atau triage segera untuk mencegah kehilangan data.

Prosedur Analisis dengan LECmd (Eric Zimmerman)

LECmd adalah tool berbasis CLI yang sangat powerful untuk melakukan parsing data biner dari LNK file ke dalam format yang manusiawi (human-readable) seperti CSV atau XML. Tool ini sangat krusial untuk membuat timeline aktivitas pengguna secara massal.

1. Perintah Dasar Ekstraksi

Untuk menganalisis seluruh LNK file dalam satu direktori (misalnya folder Recent), gunakan perintah berikut:

# Analisis satu file spesifik
LECmd.exe -f "C:\Path\To\File.lnk"

# Analisis satu folder dan ekspor ke CSV
LECmd.exe -d "C:\Users\USER\AppData\Roaming\Microsoft\Windows\Recent" --csv "C:\Output"

Penjelasan Parameter:

  • -d: Menentukan direktori sumber (directory) yang berisi kumpulan LNK files.
  • -f: (Alternatif) Digunakan jika Anda hanya ingin menganalisis satu file spesifik.
  • --csv: Menentukan lokasi folder output hasil analisis.
  • --csvf: Memberikan nama file spesifik untuk laporan dalam format CSV. (opsional)

2. Memahami Output Penting LECmd

Setelah menjalankan tool, Lihat output yang dihasilkan. Fokuslah pada kolom-kolom kritis berikut:

ValueDeskripsi Investigatif
SourceCreatedWaktu pertama kali LNK file dibuat (indikasi akses pertama pengguna).
SourceModifiedWaktu terakhir kali LNK file diperbarui (indikasi akses terakhir pengguna).
TargetCreatedWaktu pembuatan file asli/target di sistem.
LocalPathJalur lengkap (Full Path) ke file target.
VolumeSerialNumberSerial number dari drive tempat file target berada (penting untuk USB/Drive Eksternal).
MacAddressAlamat fisik perangkat tempat LNK tersebut dibuat.

LEcmd.exe

Tools yang Direkomendasikan

ToolDeskripsi
LECmd (Eric Zimmerman)Tool CLI standar industri untuk mem-parsing LNK file secara massal ke format CSV/JSON.
Belkasoft XSuite DFIR yang secara otomatis mengekstrak, mem-parsing, dan memulihkan LNK file yang terhapus.
EXIFToolBerguna untuk melihat metadata dasar LNK file secara cepat di lingkungan Linux/WSL.

Tip

Catatan: LNK files adalah bagian dari ekosistem Shell Items bersama dengan Jump Lists dan ShellBags. Untuk investigasi yang komprehensif, ketiga artefak ini harus dianalisis secara bersamaan untuk merekonstruksi aktivitas pengguna secara utuh.

Last updated on
Jump ListsPrefetch