SHADOWLINK es un analizador defensivo de accesos directos de Windows (.lnk) orientado a revisión local, triage y documentación.
Creado por xtr4ng3.
Un acceso directo puede parecer un simple archivo de escritorio, pero en la práctica puede encadenar intérpretes, argumentos, directorios de trabajo y rutas poco visibles para el usuario.
SHADOWLINK fue creado para inspeccionar esos elementos antes de abrir el acceso directo.
No ejecuta el .lnk.
No depende de servicios externos.
No envía información a la red.
Solo interpreta la estructura local del archivo y presenta señales que merecen atención.
- validez estructural básica del archivo,
- flags del Shell Link Header,
- atributos del archivo,
- timestamps,
- tamaño del destino,
- índice de icono,
- modo de ventana,
- nombre descriptivo,
- ruta relativa,
- directorio de trabajo,
- argumentos,
- ubicación del icono,
LocalBasePath,CommonPathSuffix,- bloques de variables de entorno,
Darwin ID,- señales de intérpretes y comandos de riesgo.
- análisis individual de
.lnk, - barrido de carpetas,
- scoring de riesgo,
- lectura de destino y argumentos,
- exportación HTML,
- exportación JSON.
python src/shadowlink.pyEn Windows:
run_shadowlink.batbuild_windows\1_COMPILAR_EXE_PORTABLE.bat
xtr4ng3
MIT.