Windows Recent LNK ファイルのメモ

Posted on by Tony3

Windows Recent LNK ファイル のメモ。

Windowsを使っていると以下のようなLNKファイルを度々見かける。

C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Recent\[filename].lnk

上記のLNKファイルが作成されるパターンは以下の2通りある。

  1. ユーザーがあるファイルを開いたとき、そのファイルへのショートカットファイルが C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Recent に作成される。例えば foobar.txtというファイルをNotepadで開くとfoobar.txtのショートカットファイル foobar.txt.lnkC:\Users\[username]\AppData\Roaming\Microsoft\Windows\Recentに作成される。また自分の検証では新規にファイルを作成して保存した場合も C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Recent にショートカットファイルが作成された。詳細は後述。
  2. ユーザーがエクスプローラーでファイルを検索して、その検索結果からファイルを開いたとき、検索に用いたキーワードのショートカットファイルが作成される。例えばユーザーがエクスプローラーでfooと検索して、検索結果からfoobar.txtというファイルを開くと、foo.lnk というショートカットファイルがC:\Users\[username]\AppData\Roaming\Microsoft\Windows\Recentに作成される。詳しくはこちらの記事を参照。

検証

それぞれのパターンについて簡単に検証してみた。(検証にはWindows 7を使用)

1. のパターンの検証

Notepadでfoobar.txtというファイルを作成。

すると、ファイルを作成して保存したタイミングで即座にfoobar.txt.lnk というファイルがC:\Users\user\AppData\Roaming\Microsoft\Windows\Recentに作成された。

C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent>dir
 Volume in drive C has no label.
 Volume Serial Number is 04F1-91A4

 Directory of C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent

07/28/2022  09:17 AM    <DIR>          .
07/28/2022  09:17 AM    <DIR>          ..
07/28/2022  09:17 AM    <DIR>          AutomaticDestinations
03/20/2019  07:29 PM    <DIR>          CustomDestinations
03/20/2019  09:15 PM             1,181 CyberChef.htm.lnk
07/28/2022  09:17 AM               444 foobar.txt.lnk
03/20/2019  09:15 PM               935 tools.lnk
               3 File(s)          2,560 bytes
               4 Dir(s)   7,948,091,392 bytes free

以下はfoobar.txt.lnkのプロパティ。C:\Users\user\Desktop\foobar.txtのショートカットファイルであることが分かる。

2. のパターンの検証

エクスプローラーの検索欄にfooと入力してCドライブ内を検索。

検索結果からfoobar.txtを開くとfoo.lnk というショートカットファイルが C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent に作成された。(この時、検索結果からfoobar.txt.lnk の方を開くとショートカットファイルは作成されなかった。)

C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent>dir
 Volume in drive C has no label.
 Volume Serial Number is 04F1-91A4

 Directory of C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent

07/28/2022  09:20 AM    <DIR>          .
07/28/2022  09:20 AM    <DIR>          ..
07/28/2022  09:17 AM    <DIR>          AutomaticDestinations
03/20/2019  07:29 PM    <DIR>          CustomDestinations
03/20/2019  09:15 PM             1,181 CyberChef.htm.lnk
07/28/2022  09:20 AM            11,644 foo.lnk
07/28/2022  09:20 AM            13,298 foobar.txt.lnk
03/20/2019  09:15 PM               935 tools.lnk
               4 File(s)         27,058 bytes
               4 Dir(s)   7,948,038,144 bytes free

以下はfoo.lnk のプロパティ。検索結果のショートカットファイルであることが分かる。

参考
https://www.mandiant.com/resources/the-missing-lnk-correlating-user-search-lnk-files

IT業従事者。2018年10月末よりシンガポール在住。

Leave a Reply

Your email address will not be published. Required fields are marked *


The reCAPTCHA verification period has expired. Please reload the page.