Как извлечь файлы из ярлыка lnk

Обновлено: 06.07.2024

Все программы в момент установки их в Windows прописывают в реестр свои ассоциации к файлам, с которыми они работают. Иногда при неграмотных действиях пользователя некоторые ассоциации могут изменится. Если добавить ассоциацию к ярлыкам, имеющим расширение .lnk, то программы с рабочего стола перестанут открываться. Разберемся почему так получается и как устранить.

Когда пользователь пытается открыть файл, который не имеет ассоциации, Windows предложит указать программу, с помощью которой можно это сделать. Но пользователь уверен, что ему по почте прислали именно документ в формате Word и пытается открыть файл программой Word.

В результате все файлы имеющие такое же расширение ассоциируются с этой программой.

Если в Windows появилась ассоциация ярлыков, то все ярлыки станут неработоспособными и программы с рабочего стола открываться не будут.

Восстановить ассоциацию файлов lnk можно через реестр путем удаления соответствующей записи.

Открываем окно «Выполнить» сочетанием клавиш «Win+R» и вводим команду «regedit»

В реестре переходим по ветке:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts

И удаляем раздел .lnk

После этого достаточно выйти из учетной записи пользователя и зайти обратно. Windows добавит в реестр правильный раздел .lnk и ярлыки будут нормально функционировать.

Изменить ассоциацию файла, неправильно сопоставленного какой-либо программе, можно без вмешательства в реестр.

Изменение ассоциации файла программе настраивается через элемент Панели управления «Программы по-умолчанию».

Для этого откроем панель управления «Пуск / Панель управления» и выберем элемент «Программы по умолчанию»

Выбираем пункт «Сопоставление типов файлов или протоколов конкретным программам»

Выбираем расширение файла, для которого необходимо изменить ассоциацию, и нажимаем кнопку «Изменить программу»

Указываем программу, при помощи которой необходимо открывать данный файл.

Если все ярлыки на рабочем столе, в панели быстрого запуска и меню пуск стали одинаковыми, например имеют вид MsPaint или Internet Explorer, то скорее всего вы "поймали" вирус, подменяющий ассоциации .lnk-файлов.

Ярлыки перестают работать и открывать связанную с .lnk-файлом программу. Программу в данном случае можно запустить только из каталога куда она установлена, запустив исполняемый файл .exe. Но согласитесь, что это далеко не удобно.

Далее в окне навигации по реестру идем по следующему пути: КомпьютерHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.lnkOpenWithList и ищем раздел UserChoice. Удалите его со всем содержимым и перезагрузите компьютер.

После этого все файлы с расширением .lnk будут иметь привычный вид и открывать соответствующие им программы.

Здравствуйте, друзья. Хакеры постоянно придумывают новые способы потрепать нервы пользователей ПК. Но если вооружиться знаниями, то можно смело противостоять даже самым опасным угрозам. Сегодня я поделюсь с Вами способами, как удалить вирус LNK. Возможно, Вы слышите его название впервые, но, уверен, что сталкиваться с ним уже приходилось.

Суть проблемы

У этого «троянского коня» есть множество разновидностей: от самых безобидных (наподобие LNK/Agent) до серьезных шпионских скриптов, которые способны глубоко укореняться в системе и воровать Ваши данные.

Первый признак того, что вирус поразил файлы – это появление ярлыков вместо ранее существовавших папок. Стоит только запустить их, и угроза начнет распространяться по компьютеру. Последствия могут быть разными:

Диски начнут забиваться «мусором»;
Появится множество лишних процессов, которые будут потреблять оперативную память;
Информация о вводе с клавиатуры будет отправляться на удаленные сервера злоумышленников;
Хакеры смогут управлять Вашим ноутбуком на расстоянии.

Согласитесь, вырисовываются не очень приятные перспективы.

Как бороться с вирусом, создающим ярлыки?

Если «троян» не успел распространиться, то есть, он был вовремя выявлен, и были предприняты меры по его устранению, то уровень угрозы можно считать минимальным. Удалить вирус будет просто. Но чаще всего пользователи начинают кликать по ярлыкам множество раз, способствуя «размножению» вредных элементов.

Хорошо, когда на ПК установлен качественный антивирус, который сможет выявить и устранить LNK Starter самостоятельно. Увы, многие «юзеры» пренебрегают использованием защитного ПО.

Перейдем к рассмотрению методов устранения проблемы. Начнем с универсальных (в этой ситуации) способов.

Полезный контент:

Используем встроенные средства

Для начала стоит сделать все скрытые элементы файловой системы видимыми. Делается это так:

Открываем «Панель управления» и переходим к разделу «Параметры папок»:

На вкладке «Вид» снизу находится опция «Скрытые файлы и папки». Следует установить выбор на значение «Показывать…».
Теперь заходим в «Мой компьютер» и просматриваем содержимое дисков. Обычно, вирус «сидит» в корне:

Открываем свойства любого «ярлыка» и на соответствующей вкладке смотрим поле «Объект»:

На скрине выделен путь к исполняемому файлу вируса. Удаляем его вместе с папкой. После этого клики по ярлыкам станут безопасны. Но это еще не конец.

Необходимо разобраться с восстановлением папок. Для этого придется изменить атрибуты, которые установил вирус. Делается это просто:

Запускаем утилиту CMD (командная строка) и вводим следующие команды:

cd /d БУКВА_ЗАРАЖЕННОГО_ДИСКА:

Затем выполняем этот код:

Теперь необходимо перезапустить ПК для окончательного устранения LNK/Autorun.
Чтобы на 100% быть уверенными в результате, следует удалить «хвосты» с флешки и пользовательских папок по следующему пути:

Здесь может находится скрытая папка вируса, которую необходимо зачистить.

Используем сторонние программы

Если не используете антивирусное ПО на постоянной основе, то лучшим способом устранения «троянов» станет утилита DrWeb Cure It! Она постоянно обновляется и может обезвредить самые новые угрозы, в том числе и jenxcus.

Спустя некоторое время (30-50 минут), отобразится перечень угроз, которые будет лечить Доктор Веб. Нужно только нажать на кнопку «Обезвредить» и перезагрузить систему.

Немного о Дженксус

Jenxcus-h Trj – именно так отображается опасный «троян» в результатах поиска антивирусной программы. Возможны разновидности: VBS (указывает, что скрипт создан на языке Visual Basic), Jenxcus.A и другие. Но суть от этого не меняется.

Данный вредоносный скрипт может попасть на компьютер разными способами: при открытии подозрительного e-mail, распаковке архива, установке неблагонадёжного софта. Вы можете даже не подозревать о заражении. Но с каждой последующей загрузкой Windows троян будет поражать всё больше областей диска. Но самым страшным является то, что «захваченные территории» становятся доступны для хакеров, которые удаленно смогут «шпионить» за Вами, воровать важные данные и т.д.

Обнаружить Дженксус очень непросто. Если его не перехватить в самом начале, то дальше данная проблема может приобрести необратимый характер. И спасёт только форматирование с последующей переустановкой системы.

Выводы

Почаще выполняйте полное сканирование дисков в антивирусном приложении.
Не подключайте к ноутбуку сомнительные внешние устройства.
Если скачиваете архивы с сайтов, то предварительно проверяйте их (ни в коем случае не открывайте сразу!).

Устройства для хранения и переноса информации с одного ПК на другой прочно вошли в нашу жизнь. Сегодня USB-накопители, в просторечии называемые «флешками», используются повсеместно. С их помощью легко загрузить нужные файлы на любой компьютер. Но нередко случается, что, вставив флешку в порт, пользователь не может получить доступ к информации, записанной на устройстве. Это может произойти из-за физического повреждения носителя или программного сбоя.

Как восстановить файлы на флешке пошагово

В ситуации, когда нужная информация, зачастую хранившаяся на USB-носителе в единственном экземпляре, пропала, легко запаниковать. Однако, не стоит отчаиваться. Чаще всего проблема решаема, и восстановление файлов на флешке возможно.

Шансы на успех особенно велики, если исчезновения данных произошло по таким причинам:

случайное удаление самим пользователем;
быстрое форматирование;
разбивка памяти на разделы;
действие вирусов и вредоносного ПО;
сбой настроек файловой системы.

Внимание!

Чтобы повысить вероятность восстановления данных, нельзя производить с флешкой никаких действий, записывать на нее новую информацию. Любые манипуляции с устройством могут привести к безвозвратной потере данных.

Что делать, если их не видно

Прежде всего, следует проверить, не попали ли файлы, которые перестали отображаться, в категорию «скрытые». Для этого действуют следующим образом:

Открывают любое окно, зажимают кнопку «Alt», открывают вкладку «Сервис» и выбирают «Параметры папок».
Во всплывшем меню нажимают «Вид».
Находят раздел «Скрытые файлы и папки» и снимают отметку в окошке напротив строки «Не показывать».
После этого вновь открывают флешку. Если файлы отобразились, правым кликом открывают меню «Свойства, и снимают флажок в графе «Скрытые».

Теперь информация будет видна на любом устройстве. После этого можно вернуть настройки отображения скрытых файлов к первоначальным.

Что делать после удаления

Бывают случаи, когда антивирусная программа принимает за вредоносное ПО даже безобидные файлы. В этом случае пользователь может случайно удалить нужные файлы вместе с зараженными объектами. Нередки случаи, когда данные сносят случайно, очищая память флешки. Ситуация неприятная, но не безнадежная.

Восстановить утерянные данные получится с помощью сторонних утилит. Сегодня в сети можно скачать различные программы, позволяющие вернуть утраченную информацию. Есть приложения, который позволяют восстановить файлы онлайн, бесплатно или при покупке лицензии. Обзор ПО будет приведен ниже.

Внимание!

Нельзя сохранять данные после восстановления на ту же самую флешку. В этом случае файлы могут быть записаны поверх старых и, если восстановление будет неполным, первоначальная информация может быть безвозвратно утеряна.

Файлы повреждены

Иногда в структуре данных, записанных на USB-накопитель, может произойти сбой. В этом случае доступ к файлам может быть полностью утрачен или теряется часть информации из поврежденных секторов.

Причиной нарушения файловой структуры могут стать разные факторы:

некорректное извлечение;
заражение вирусами или вредоносным ПО;
физическое повреждение носителя.

Внимание!

Причиной сбоя может быть исчерпание ресурса флешки – каждое устройство рассчитано на определенный цикл записи и удалений. Если лимит превышен, встроенная микропрошивка может прийти в негодность, и файлы будут повреждены. В последнем случае восстановление данных невозможно.

собственные средства системы;
сторонние утилиты.

Восстановление внутрисистемными возможностями производится следующим образом:

Через меню «Пуск» открывают «Компьютер».
Выбирают диск с флешкой, правым кликом мыши вызывают меню и нажимают на «Свойства».
В открывшемся окне находят вкладку «Сервис».
Выбирают раздел «Проверка диска на ошибки» и нажимают на «Выполнить».
В новой вкладке в графе параметров устанавливают флажки в обеих строчках, давая разрешение на автопроверку и автовосстановление поврежденных кластеров. После этого нажимают «Запуск».

В 50% случаев этих действий достаточно, чтобы восстановить данные после сбоя файловой системы. Если же собственных средств системы не хватает, рекомендуется воспользоваться сторонними программами.

Одна из самых популярных утилит для восстановления поврежденных файлов – Recuva. Скачав и установив ее на ПК, запускают углубленный анализ, результаты которого покажут, можно ли восстановить данные полностью или частично, или же информация утеряна безвозвратно. Наиболее успешно восстанавливаются медиафайлы.

Восстановление после вируса

В первую очередь, чтобы не допустить повторного заражения, прежде, чем начать работу с флешкой, необходимо проверить ее на вирусное ПО. Для этого действуют по следующему алгоритму:

Через кнопку «Пуск» заходят в раздел «Мой компьютер».
Выбирают диск с флешкой и правым кликом мышки вызывают окно меню.
В списке действий активируют сканирование с помощью установленной на ПК антивирусной программой (в примере используется антивирус Malwarebytes).

После того, как убедились, что все вредоносное ПО удалено, действуют двумя способами:

В случае, если файлы повреждены, запускают проверку внутренними средствами системы (алгоритм действий описан в предыдущем пункте).
Если файлы не видны, проверяют, не попали ли они в скрытые, как описано выше. Если данные пропали, для их восстановления используют специальную программу.

Восстановление после форматирования

Внимание!

Реанимировать данные получится, только если была проведена очистка оглавления (быстрое форматирование). Если был запущен низкоуровневый процесс, информация утрачивается безвозвратно.

Действия, если вместо файлов один ярлык lnk

Иногда, если флешка подверглась вирусной атаке, пользователь может столкнуться с неприятной ситуацией: файлы пропали, а вместо них видны только ярлыки. В этом случае не нужно паниковать.

Для восстановления файлов, если они стали ярлыками, действуют следующим образом:

Проверяют флешку на вирусы (инструкция выше).
Настраивают параметры отображения скрытых файлов (алгоритм действий приведен в начале статьи).

После этого приступают к удалению вируса, приведшего к сбою. Его пусковой механизм скрыт в ярлыках. Задача пользователя – используя это знание, удалить папку или файл, в которой он спрятан:

Открывают флешку.
Наводят курсор мыши на ярлык, и правой кнопкой вызывают меню. Выбирают пункт «Свойства».
В поле «Объект» отобразится наименование папки и файла. Их следует удалить.

После этого стирают все ненужные ярлыки. Параметры отображения скрытых папок приводят к стандартным.

Флешка повреждена

Алгоритм действий на примере программы Active@ File Recovery:

Скачивают и устанавливают утилиту (достаточно бесплатной демо-версии).
Запускают программу. Выбирают диск, который требуется восстановить.
Активируют режим супер-сканирования. В параметрах выбирают допустимые файловые системы – их может быть несколько: FAT32, NTFS или exFAT. Запускают процесс, нажав на кнопку «Scan».

Извлеченные с флешки файлы автоматически будут перемещены программой в папку «Super Scan». Чтобы восстановить их, наводят на каждый курсор, и кликают правой кнопкой на «Recover».

Список программ для восстановления данных с флешки

Выше были описаны примеры утилит, способных найти удаленные или реанимировать поврежденные файлы. Есть еще несколько программ, которые помогут восстановить данные.

EaseUS Data Recovery Wizard

Проверенная утилита китайского производства, появившаяся еще в 2005 г. Бесплатная версия позволяет восстановить 2 ГБ данных. Если объем потерянных файлов больше, придется покупать лицензию.

Успешность восстановления очень высокая – бывает, что программа предлагает восстановить файлы, которые были записаны на флешке до того, как появилась последняя информация.

R.saver

Главный плюс утилиты – полная русификация. Способна восстанавливать не только данные, но и файловую систему. Подходит для работы с жестким диском и любыми съемными носителями. Доступна к бесплатному скачиванию. Совместима с Windows 7 и всеми более старшими версиями ОС.

PhotoRec

По отзывам пользователей, программа позволяет восстановить почти 100% информации. Однако у нее есть ряд недостатков. Процесс анализа и восстановления занимает очень много времени. Кроме этого, после рекаверинга исходные файлы меняют названия и оказываются собраны в одну папку, что чревато трудностями сортировки, если на флешке было записано много данных.

Wise Data Recovery

Отличная утилита, позволяющая восстановить до 100% удаленных или поврежденных данных. Но есть нюанс: бесплатная версия дает возможность рекаверинга только для файлов, удаленных недавно.

Если требуется более глубокое сканирование, особенно при необходимости вытащить информацию, поверх которой уже существует запись, придется оплатить про-версию.

Disk Drill

Версия для Windows этой программы появилась сравнительно недавно. А вот пользователи Mac OS знакомы с утилитой уже давно. Позволяет восстанавливать файлы с любых носителей – встроенных и внешних, после удаления, форматирования, если они повреждены (сбой файловой системы). Работать с программой несложно благодаря дружелюбному интерфейсу. Доступна к бесплатному скачиванию.

RS File Recovery

Помогает восстановить потерянные файлы и защитить их от повторного удаления. Программа достаточно эффективная, но у нее есть проблемы быстродействия.

Для ускорения работы требуется точно указать директорию, в которой были записаны удаленные файлы. В противном случае процесс сканирования может сильно затянуться.

Ontrack EasyRecovery

Программа платная, но для разового использования позволяет воспользоваться фри-демоверсией. Восстанавливает не только случайно стертые файлы, но и данные после форматирования, а также информацию с потерянных или удаленных томов.

Active UNDELETE

Эффективная программа, способная восстановить утраченные данные после удаления, программного сбоя, форматирования, вирусной атаки. Утилита платная, но существует демо-версия. Если объем информации, которую требуется восстановить, небольшой, то лимита в 1 ГБ должно хватить.

В каком случает восстановить данные с флешки не получится

У программистов и опытных юзеров есть пословица: «нет утраченных данных, есть те, к которым утрачен доступ». Пословица верна примерно в 6 из 10 случаев.

Но существуют ситуации, когда придется смириться с потерей информации:

файл был поврежден в процессе записи;
флешка была очищена низкоуровневым форматированием;
после удаления поверх стертых данных были записаны новые;
USB-накопитель физически поврежден или исчерпал ресурс использования.

В остальных случаях вероятность восстановить удаленные файлы достаточно высока. В некоторых случаях, когда рекаверинг в домашних условиях не дал эффекта, может помочь обращение к профессионалам, которые имеют в распоряжении не только общедоступные программы.

В одной из прошлых статей мы рассказывали о таком криминалистическом артефакте, как Windows 10 Timeline, об утилитах для его анализа и о том, какие сведения из него можно извлечь при расследовании инцидентов. Сегодня мы поговорим о ярлыках Windows. Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, в каких атаках они используются и как детектировать подобные файлы.

LNK-файлы (ярлыки windows, shortcut files) — служебные файлы, которые, как правило, автоматически создаются операционной системой Windows, когда пользователь открывает файлы. Windows использует их для быстрого доступа к конкретному файлу. Также часть LNK-файлов может быть вручную создана пользователем, например, для удобства работы.

Ярлыки на рабочем столе:

Расположение LNK-файлов

Традиционно основная часть LNK-файлов располагается по путям:

Для операционных систем Windows 7—Windows 10	C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Recent
Для операционной системы Windows XP	C:\Documents and Settings\%User profile%\Recent

Однако существует множество иных мест, где исследователь может найти LNK-файлы:

на рабочем столе (обычно такие ярлыки создают пользователи для быстрого доступа к документам и приложениям);
для документов, открываемых в Microsoft Office, LNK-файлы находятся по пути: C:\Users\%User profile%\AppData\Roaming\Microsoft\Office\Recent\ (для операционных систем Windows 7—Windows 10);
иногда вместо документов пользователи пересылают ярлыки по электронной почте, и, соответственно, получатели их скачивают. Поэтому третье место, где встречаются ярлыки, — каталог C:\Users\%User profile%\Downloads (для операционных систем Windows 7—Windows 10);
в каталоге Startup
и т.д.

Содержимое ярлыков

До того, как Microsoft опубликовала информацию о формате LNK-файлов [1], исследователи предпринимали попытки самостоятельно описать этот формат [2, 3]. Сложность исследований заключалась в том, что разные ярлыки содержат разные сведения. И при переходе от ярлыка к ярлыку может меняться количество содержащихся в нем сведений о конкретном файле. Кроме того, в Windows 10 в LNK-файлах появились новые поля, которых не было в предыдущих версиях операционной системы.

Итак, какую же информацию содержит LNK-файл? Belkasoft Evidence Center отображает три секции с информацией об LNK-файле: Метаданные, Происхождение и Файл.

Секция Метаданные:

Наиболее важные из сведений, представленных в секции Метаданные:

исходный путь файла и его временные метки (полный путь, время доступа к целевому файлу (UTC), время создания целевого файла (UTC), время изменения целевого файла (UTC)).
тип привода;
серийный номер тома (серийный номер привода);
метка тома;
NetBIOS-имя устройства;
размер целевого файла (байт) — размер файла, с которым ассоциирован ярлык.

Секция Происхождение:

Секция Файл:

В секции Файл дан MAC-адрес устройства, на котором был создан ярлык. Эта информация может помочь идентифицировать устройство, на котором данный файл был создан.

Следует отметить, что MAC-адрес устройства, зафиксированный в LNK-файле, может отличаться от реального. Поэтому этот параметр иногда не является достоверным.

При проведении исследований следует обращать внимание на временные метки LNK-файла, так как время его создания, как правило, соответствует либо времени создания этого файла пользователем, либо времени первого обращения к файлу, ассоциированного с данным ярлыком. Время изменения файла обычно соответствует времени последнего обращения к файлу, с которым ассоциирован ярлык.

Восстановление LNK-файлов

В каталоге Recent, который описан выше, находится до 149 LNK-файлов. Что же делать, когда нужный нам ярлык удален? Конечно же, нужно попробовать восстановить его! Восстановление LNK-файлов можно произвести с использованием сигнатуры заголовка файла hex:4C 00 00 00.

Чтобы задать заголовок файла, нужно пройти в меню программы: Инструменты — Настройки, перейти во вкладку Карвинг, нажать кнопку Добавить и создать новую сигнатуру. Более подробно о методах карвинга с помощью Belkasoft Evidence Center можно прочитать в статье «Carving and its Implementations in Digital Forensics» [4].

Добавление пользовательской сигнатуры (header):

Использование LNK-файлов атакующими в инцидентах информационной безопасности

На каждом Windows-компьютере могут находиться сотни и тысячи ярлыков. Поэтому найти ярлык, использованный атакующими для компрометации компьютера, часто не проще, чем иголку в стоге сена.

Компрометация атакуемой системы

Более 90% вредоносных программ распространяются через электронную почту. Как правило, вредоносные электронные письма содержат либо ссылку на сетевой ресурс, либо специальным образом подготовленный документ, при открытии которого в компьютер пользователя загружаются вредоносные программы. Также в хакерских атаках часто применяются LNK-файлы.

Секция Метаданные вредоносного LNK-файла:

Как правило, подобный LNK-файл содержит PowerShell-код, который исполняется при попытке открытия пользователем присланного ему ярлыка. Как видно на скриншоте выше, такие ярлыки можно легко обнаружить с помощью Belkasoft Evidence Center: в метаданных присутствует путь до исполняемого powershell.exe. В поле Аргументы приведены аргументы команды PowerShell и закодированная полезная нагрузка.

Закрепление в скомпрометированной системе

Один из методов использования LNK-файлов в хакерских атаках — закрепление в скомпрометированной системе. Чтобы «вредонос» запускался каждый раз при запуске операционной системы, можно сделать LNK-файл со ссылкой на исполняемый файл вредоносной программы (или, например, на файл, содержащий код загрузчика) и поместить ярлык по адресу C:\Users\%User profile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Тогда при старте операционной системы будет происходить запуск «вредоноса». Такие ярлыки можно найти во вкладке Файловая система программы Belkasoft Evidence Center.

Ярлык PhonerLite.lnk, находящийся в автозагрузке:

Исследование LNK-файлов

LNK-файлы — это криминалистический артефакт, который анализировался криминалистами еще при исследовании древних версий операционной системы Windows. Поэтому, в той или иной мере, анализ этих файлов поддерживают практически все программы для криминалистического анализа. Однако по мере эволюции Windows эволюционировали и файлы ярлыков. Сейчас в них есть поля, отображение которых ранее считалось нецелесообразным, и, соответственно, часть криминалистических программ не отображает эти поля. При этом анализ содержимого данных полей актуален при расследовании инцидентов информационной безопасности и хакерских атак.

Для исследования LNK-файлов мы рекомендуем использовать Belkasoft Evidence Center, AXIOM (Magnet Forensics), LECmd (Eric Zimmerman’s tools). Эти программы позволяют быстро проанализировать все файлы ярлыков, находящиеся на исследуемом компьютере, и вычленить те, которые нужно проанализировать более тщательно.

Исследование LNK-файлов с помощью Belkasoft Evidence Center

Так как фактически все примеры, данные выше, подготовлены с помощью Belkasoft Evidence Center, описывать ее дополнительно нет смысла.

Исследование LNK-файлов с помощью AXIOM

AXIOM — одна из топовых утилит для компьютерной криминалистики в настоящее время. Собранная программой информация о файлах ярлыков, находящихся в исследуемой системе Windows, сгруппирована в разделе Operating system:

Значение полей, отображаемое для конкретного ярлыка:

Как видно из скриншота выше, в обнаруженный программой ярлык интегрирована команда для запуска PowerShell и набор инструкций, которые исполнятся, когда пользователь кликнет на ярлык. Подобный ярлык требует от исследователя дополнительного анализа.

Исследование LNK-файлов с помощью LECmd

Комплект утилит «Eric Zimmerman’s tools» хорошо зарекомендовал себя при расследовании инцидентов. В этот комплект входит утилита командной строки LECmd, которая предназначена для анализа LNK-файлов.

Объем данных об анализируемом LNK-файле, которые выводит эта утилита, просто поражает.

Информация, извлеченная из анализируемого LNK-файла утилитой LECmd:

Выводы

LNK-файлы — один из старейших артефактов Windows, который известен компьютерным криминалистам. Тем не менее, он используется в хакерских атаках, и о его исследовании не стоит забывать при расследовании инцидентов информационной безопасности.

Огромное число программ для компьютерной криминалистики поддерживают, в той или иной степени, анализ этого артефакта Windows. Однако не все из них отображают содержимое полей ярлыков, анализ которых необходим при расследовании. Поэтому стоит аккуратно подходить к выбору программных инструментов, которые попадут в набор специалиста, расследующего инциденты.

В результате все файлы имеющие такое же расширение ассоциируются с этой программой.

Восстановить ассоциацию файлов lnk можно через реестр путем удаления соответствующей записи.

Открываем окно "Выполнить" сочетанием клавиш "Win+R" и вводим команду "regedit"

В реестре переходим по ветке:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\

И удаляем раздел .lnk

Изменение ассоциации файла программе настраивается через элемент Панели управления "Программы по-умолчанию".

Для этого откроем панель управления "Пуск / Панель управления" и выберем элемент "Программы по умолчанию"

Выбираем пункт "Сопоставление типов файлов или протоколов конкретным программам"

Выбираем расширение файла, для которого необходимо изменить ассоциацию, и нажимаем кнопку "Изменить программу"

Указываем программу, при помощи которой необходимо открывать данный файл.

4 thoughts on “ Восстановление ассоциации файлов lnk и изменение ассоциаций файлов в Windows ”

Сколько мучался, наверно лет 6 с этой проблемой, но так как не особо мешала, не исправлял, а тут понадобилось и бац. Все помог способ с редактированием реестра. Спасибо за инструкцию

4ет у меня не полу4илось хоть удалил лнк! как и пишет комьютер и тд лнк ! по4ти на всех програмах так пишет и иконки не открываются и измененные

Может вирус подхватил. Попробуй просканировать антивирусом.

А если при попытке открыть реестр открывается как просмотр фотографий? То есть эта ерундовина затронула даже файл "regedit"?

Читайте также: