Windows 10 LNK File分析

前情提要：警方接获线报，黑道份子阿强涉及制造与贩卖毒品，警方在其住处扣得笔记本电脑及数个U盘，送往实验室进行取证分析。

取证人员对证物进行证物镜像制作，并进行证物处理(Evidence Processing)，开始进行取证分析。得知阿强的笔电的操作系统为Windows 10 专业版 64bit，本机的硬盘分割区为C盘与E盘，而D盘则是光驱，如下图所示。

检视文件内容或网页浏览纪录中，并未发现任何与毒品相关的迹证。但在LNK File的分析结果中，却发现有大量的可疑文件存取痕迹，皆与毒品有关，如下图所示，包括摇头丸、海洛因、K它命、冰毒、FM2之特性、成份、制作方法等相关文件。取证人员仔细查看这些LNK File所指向的文件的路径为F:\ 开头，非属本机磁盘代号的C、D或E，即表示这个磁盘代号F应是外接式储存设备。但检视阿强所使用的U盘，未发现相关文件内容。且比对阿强笔电的USB装置使用痕迹分析结果中的Volume Serial Number，与LNK File的解析结果所得到的"2CC8-5685"(红色框住部份所示)并不符合。当然，若是对U盘进行格式化，新的分割区的Volume Serial Number便会与先前不同，也不排除此一可能性。

再仔细检视其它LNK File，一个名为data2.vhd.lnk(如下图所示)引起了取证人员的注意。取证人员分析它应该就是阿强能够将毒品相关文件"隐身"的重要关键所在，因此将data2.vhd于取证工作站上进行挂载，果不其然，它就是"虚拟磁盘"，里头所存放的文件正是上述LNK File分析结果中所指向的文件名无误。

取证人员凭借经验与判断，并未因 .vhd看似为不知名的奇怪扩展名而将其忽略，最终顺利找到了关键文件，将歹徒绳之以法。