利用LNK文件追踪屏幕截图

在某个历史时刻，微软引入了Snipping Tool（截图工具）。世界为之欢呼，因为一个简单的截图工具被添加到Windows中，使得截取屏幕部分区域比按Print-Screen键然后打开Paint更容易。

不幸的是，微软决定在Win10的后续版本中弃用Snipping Tool，转而推动人们使用（在我看来）用户友好性较差的"Snip & Sketch"（截图和草图）。然而，这种改变并非全无是处，实际上我们获得了一些取证证据！

Snipping Tool

我使用’Snipping Tool’进行了截图，但这并没有创建LNK文件。截图内容被放入了剪贴板，这是默认设置（因此如果剪贴板同步开启，它可能会被写入磁盘并存储在内存中）。

截图完成后，它会打开一个新窗口显示图片，当截图被保存时，会创建一个新文件，并且相关的取证证据应该会被填充。从LNK的角度来看，将会创建一个新的LNK文件及其父文件夹，LNK文件和目标文件的MAC时间应该匹配。

‘Snip & Sketch’是它自己的应用程序，它还有一个快捷键（Win+Shift+S）。有趣的是，使用快捷键截图会在右下角显示通知，但不会自动创建LNK文件。如果用户点击显示的通知，那么图片将在’Snip & Sketch’中打开，这会生成一个表明来源是’Toast’（即通知）的LNK文件。

更有趣的是，通过应用程序进行截图会在无需交互的情况下生成LNK文件！

使用LECMD解析这个文件，我得到了一个与我截图时间匹配的源创建和修改时间。文件名本身似乎没有太多有趣的信息——GUID可能有些意思，但我没有深入研究它们。你还可以解析1c7a9be1b15a03ba跳转列表，你会得到相同的LNK条目。

如果你通过应用程序进行到截图步骤，但没有完成后续操作，你仍然会得到一个LNK文件，但它不会有GUID。

总体来看，似乎是’Snip & Sketch’应用程序生成了LNK文件。

作为补充说明——‘Snip & Sketch’是一个Windows应用程序，因此我查看了Appdata\Local\Packages文件夹：

C:\Users\User\AppData\Local\Packages\Microsoft.ScreenSketch_8wekyb3d8bbwe

虽然这里有几个文件夹，但包含内容的主要是TempState文件夹。令人惊讶的是，这里包含了我拍摄但从未保存到磁盘的截图。

我不知道为什么这些文件会在这里，或者这些文件会保留多长时间——它们能在重启后保留，所以可能有一些任意的进程会清理它们。

一些在线研究表明，一些额外的截图可能存在于单独的位置，但我无法重现帖子中的内容。

在Windows操作系统中还有很多细节需要学习——没有什么问题是已经完全解决的！