手机网站
手机网站
要做好法医分析工作,工具和技术只是辅助,而思维是核心和重点。本文将详细分享微软视窗操作系统的基本数字取证知识,了解数据的存储位置和相应组件,并帮助快速确定关键证据,包括视窗时间规则、文件下载、程序执行、文件删除/文件信息、
浏览器资源、外部设备/USB使用、帐户使用、文件/文件夹打开、网络活动/物理位置
这篇文章包含很多内容。在文章的最后,有一些使用[搜索]功能和本文思维导图的提示。我希望它能成为你的视窗取证和分析工作的一个必要的宝库。
文章精华集
01.windows时间规则
1。标准信息
创建文件:文件修改、文件访问、文件元数据时间更改
访问文件:文件访问时间更改(NTFS win7+未更改)
文件修改:文件修改。文件元数据时间更改
文件重命名:文件元数据时间更改
复制文件:文件修改时间继承自原始文件、文件访问、文件元数据、文件创建时间更改
文件移动:< br>1)同卷移动文件:文件元数据时间更改< br>2)跨卷移动文件
通过系统命令:修改时间来自原始文件、文件访问、文件元数据、文件创建时间更改
通过复制和粘贴:文件修改、文件元数据、文件创建来自原始文件。访问时间为
02。文件下载
1。打开/保存传输单元。DAT \软件\微软\视窗\当前版本\浏览器\ ComDLG32 \ Openspidlmru
2。电子邮件附件:Outlook
XP:
% user profile % \ local settings \ application data \ Microsoft \ Outlook
win 7/8/10:
% user profile % \ Appdata \ local \ Microsoft \ Outlook
olk:
HKEY _ current _ user \ software \ Microsoft \ office \相应版本\Outlook\Security
3。微信桌面:用户。用户名>。\文档\微信文件\微信号\文件
4。用户\ & lt用户名>。\文档\腾讯文件\QQ号码\文件恢复
5.skype历史记录
XP:
c: \文档和设置\ <用户名>;\应用\ Skype \ & ltskype-name>。
Win 7/8/10:
C:\ % USERPRofile % \ AppData \漫游\ Skype \ & ltskype-name>。
6。浏览器
1)internet explorer
ie8-9:
% user profile % \ AppData \ road ing \ Microsoft \ Windows \ iedownload history \ index . dat
IE10-11:
% user profile % \ AppData \ Local \ Microsoft \ Windows \ Webcache \ WebCachev * . dat
2)Firefox
v3-25:
% user profile % \ AppData \ Routing \ Mozilla \ Firefox \ Profiles \ & lt;随机文本>。默认\下载。SQLite
v 26+:
% user profile % \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles \ & lt;随机文本>。默认\places.sqlite表:moz _ annos
3)Chrome
Win7/8/10:
% USERPRofile % \ AppData \ Local \谷歌\ Chrome \用户数据\默认\ History
7。下载(火狐,网络浏览器)管理器
1)火狐
XP:
% user profile % \ application data \ Mozilla \火狐\ profiles \ < random text>。。默认\下载。SQLite
Win 7/8/10:
% user profile % \ AppData \漫游\ Mozilla \ Firefox \ Profiles \ & lt随机文本>。默认\下载. sqlite
2)互联网资源管理器
IE8-9:
% USERPRofile % \ AppData \漫游\ Microsoft \ Windows \ IEDownLoadHistory \
IE10-11:
% USERPRofile % \ AppData \ local \ Microsoft \ Windows \ web cache \ web cachev *。dat
8 . adszone . identifier
从XP SP2开始,当文件通过浏览器从Internet区域下载到NTFS卷时,会向该文件添加一个备用数据流
03。程序执行
1 . user assist
ntuser . dat hive
ntuser . dat \ software \ Microsoft \ windows \ current version \ explorer \ user assist \ { guid } \ count
2 . windows 10时间线
C:\ Users \ & lt;配置文件>。\ AppData \ Local \ ConnectedDevicesPlatform \ l . & lt;配置文件>。\ActivitiesCache.db
3。最近应用的
ntuser . dat \ software \ Microsoft \ windows \ current version \ search \ recenttaps
4 . shim cache
XP:
SYSTEM \ current Control set \ Control \ Session Manager \ AppCompatibility
win 7/8/10:
SYSTEM \ current Control set \ Control \ Session Manager \ AppCompativecache
5。快速访问
win 7/8/10:
c:\ % user profile % \ appdata \ road ing \ Microsoft \ windows \ recent \ automaticdestinations
6。
Win7/8/10:
C:\ Windows \ AppCompat \ Programs \ Amcache . hve
7。系统资源利用管理器(SRUM)(数据库)
软件\ Microsoft \ Windows nt \ current version \ SRUM \ Extensions { D10 ca 2fe-6 fcf 4f 6d-848 e-b2e 99266 fa 89 } =应用程序资源利用提供程序C:\ Windows \ System32 \ SRU \
8。BAM/DAM
·系统\当前控制集\服务\ bam \用户设置\ { SID }
·系统\当前控制集\服务\ dam \用户设置\ {SID}
9。最近访问的mru
XP:
NTUSER . dat \ software \ Microsoft \ windows \ current version \ explorer \ com DLG 32 \ Lastvisited mru
Win 7/8/10:
NTUSER。DAT \软件\微软\视窗\当前版本\资源管理器\ ComDLG32 \ LastvisitedPidlRu
10 .预取
WinXP/7/8/10:
C:\视窗\预取
04。文件删除/文件信息
1.xp查询-acmru
ntuser . dathiventuser . dat \ software \ Microsoft \ search assistant \ acmru \ # # #
2。缩略图(缩略图缓存)
c:\ % user profile % \ appdata \ local \ Microsoft \ windows \ explorer
3 . thumb . db
winxp/win8 | 8.1:
在家庭组启用的任何位置自动创建
win7/8/10:
自动在任何地方创建并通过UNC路径(本地或远程)访问
4。IE |边缘文件://
互联网浏览器
IE6-7:
%用户配置文件% \本地设置\历史\历史。IE5
IE8-9:
% USERPRofile % \ AppData \ Local \ MicroSoft \ WindowsHistory \ History。IE5
IE10-11:
% USERPRofile % \ AppData \ Local \ MicroSoft \ Windows \ Webcache \ WebCacheV * . dat
5。round word query
win 7/8/10 tunser . dat hive:
ntuser . dat \ software \ Microsoft \ windows \ current version \ explorer \ Wordware recycle
6 . win 7/8/10回收站
隐藏系统文件夹
c: \ $回收站
7.xp回收站
隐藏系统文件夹
c:回收站" 2000/nt/XP/2003
7浏览器资源
1。历史信息
1)internet explorer
ie6-7:
% user profile % \ local settings \ History \ History。IE5
IE8-9:
%用户配置文件% \应用数据\本地\微软\窗口\历史\历史。IE5
IE10,11,Edge:
% USERPRofile % \ AppData \ Local \ Microsoft \ Windows \ Webcache \ WebCachev * . dat
2)Firefox
XP:
% USERPRofile % \应用程序数据\ Mozilla \ Firefox \ Profiles \ & lt随机文本>。默认\ places . SQLite
Win 7/8/10:
% USERPRofile % \ AppData \漫游\ Mozilla \ Firefox \ Profiles \ & lt随机文本>。默认\ places . SQLite
3)Chrome
XP:
% USERPRofile % \本地设置\应用程序数据\谷歌\ chrome \用户数据\默认\ History
win 7/8/10:
% USERPRofile % \ app Data \ Local \谷歌\ Chrome \ User Data \ Default \ History
4)QQ浏览器
% User PRofile % \ app Data \ Local \腾讯\ QQ browser \ User Data \ Default \ History
2)Firefox
XP:
% USERPRofile % \应用程序数据\ Mozilla \ Firefox \ Profiles \ & lt随机文本>。默认\ places . SQLite
Win 7/8/10:
% USERPRofile % \ AppData \漫游\ Mozilla \ Firefox \ Profiles \ & lt随机文本>。默认\ places . SQLite
3)Chrome
XP:
% USERPRofile % \本地设置\应用程序数据\谷歌\ chrome \用户数据\默认\书签
win 7/8/10:
% USERPRofile % \ app Data \ Local \谷歌\Chrome\User Data\Default\书签
4) QQ浏览器
% User profile % \ app Data \ Local \腾讯\ QQ browser \ User Data \ Default \ QQ number \书签
microsoftedge _ & ltAPPID>。\ AC \ MicroSoftedge \ Cookies
2)Firefox
XP:
% USERPRofile % \应用程序数据\ Mozilla \ Firefox \ Profiles \ & lt随机
文本>。默认\ cookie . SQLite
Win 7/8/10:
% USERPRofile % \ AppData \漫游\Mozilla\Firefox\
配置文件\ & ltrandomtext>。。默认\ cookie . SQLite
3)Chrome
XP:
%用户配置文件% \本地设置\应用程序数据\谷歌\ chrome \用户
数据\默认\本地存储\
win7/8/10:
%用户配置文件% \应用数据\本地\谷歌\ Chrome \用户数据\
默认\本地存储\
4) QQ浏览器
%用户配置文件% \应用数据\本地存储\腾讯\ qbrowser缓存
1)internet explorer
ie8-9:
% user profile % \ appdata \ local \ Microsoft \ windows \临时Internet文件\内容。IE5
IE10:
%用户配置文件% \应用数据\本地\微软\窗口\临时互联网文件\内容。IE5
IE11:
% USERPRofile % \ AppData \ Local \ Microsoft \ Windows \ Inetcache \ IE
Edge:
% USERPRofile % \ AppData \ Local \ Packages \ Microsoft . microsoftedge _ & lt;APPID>。\ AC \ MicroSoftedge \ cache
2)Firefox
XP:
% USERPRofile % \本地设置\应用程序数据\ Mozilla \ Firefox \ Profiles \ & ltrandomtext>。。默认\缓存
Win 7/8/10:
% USERPRofile % \ AppData \ Local \ Mozilla \ Firefox \ PRofiles \ & lt;randomtext>。。默认\缓存
3)Chrome
XP:
% USERPRofile % \本地设置\应用程序数据\谷歌\ Chrome \用户数据\默认\缓存-数据_#和f _# # # # # #
Win 7/8/10:
% USERPRofile % \ AppData \本地\谷歌\ Chrome \用户数据\默认\缓存\-数据_ #和f _ # # # # # #
5。flash和超级cookies
win 7/8/10:
% appdata % \ road ing \ macromedia \ flash player \ # shared objects \ < randompr of leid & gt。
6。会话还原
1)internet explorer
win 7/8/10:
% user profile %/AppData/local/Microsoft/internet explorer/recovery
2)Firefox
win 7/8/10:
% user profile % \ AppData \ Routing \ Mozilla \ Firefox \ Profiles \ & lt;randomtext>。。默认\ session store . js
3)chrome
win 7/8/10:
% user profile % \ appdata \ local \ Google \ chrome \ user data \ default \
文件=当前会话,当前打开的标签,最后一个会话。最后一个标签
06。外部设备/通用串行总线使用
1。关键字验证
系统\ currentcontrolset \ enum \ USB或
系统\ current control set \ enum \ USB
2。插入/提取时间< br>1)即插即用日志文件(第一次)
XP:
c:\ windows \ setup API . log
win 7/8/10:
c:\ windows \ INF \ setup API . dev . log
2)(第一次,最后一次,拔出)(在win7/8/10)
系统严重性:
\ current controlset \ enum \ usbstor \ ven _ prod _ version \ usbsb用户
从系统\安装的设备中查找GUID。PNP事件
win 7/8/10:
% systemroot % \ system32 \ win vt \ logs \ Evtx
5。卷序列号
软件\ Microsoft \ windows nt \ current version \ endmgmt
6。驱动器号和卷名
XP:
parent prefix-SYSTEM \ current control set \ Enum \ USBSTOR
Win 7/8/10:
软件\Microsoft\Windows便携设备\设备
系统\安装设备
7。文件快捷方式(lnk)
XP:
% user profile % \ Recent
win 7/8/10:
% user profile % \ appdata \ road ing \ Microsoft \ windows \ Recent
% user profile % \ appdata \ road ing \ Microsoft \ office \ Recent
07。帐户使用
1。上次登录时间
c:\ windows \ system32 \ config \ Sam
Sam \ domain \ Account \ users
2。上次密码修改时间
c:\ windows \ system32 \ config \ Sam
Sam \ domain \ account \ users
3。远程桌面使用
win 7/8/10:
% systemroot % \ system32 \ win vt \ logs \ security . evtx
4。服务事件
对应于所有事件id的系统日志
7034-服务意外崩溃
7035-服务发送启动/停止控制
7036-服务启动或停止
7040-启动类型已更改(启动|请求时|禁用)
7045-服务(Win 2008 R2+)
4697-系统上安装了服务(来自安全日志)
5。登录类型
Win7/8/10:
event id 4624
6。授权事件
win 7/8/10:
% systemroot % \ system32 \ win vt \ logs \ security . evt
7。成功或失败登录
win 7/8/10:
% systemroot % \ system32 \ win vt \ logs \ security . evtx
08。打开的文件/文件夹
1。打开/保存mru
XP:
NTUSER . dat \ software \ Microsoft \ windows \ current version \ explorer \ com DLG 32 \ OpenSavemru
Win 7/8/10:
NTUSER。DAT \软件\微软\视窗\当前版本\资源管理器\ ComDLG32 \ Opensavidmru
2。最近的文件
ntuser . dat:
ntuser . dat \ software \ Microsoft \ windows \ current version \ explorer \ Recent docs
3。快速访问
win 7/8/10:
c:\ % user profile % \ appdata \ road ing \ Microsoft \ windows \ recent \ Automatic destination
4 . shell包
访问资源管理器:
usrclass . dat \ Local settings \ software \ Microsoft \ windows \ shell \ bags
usrclass . dat \ Local settings \ software \ Microsoft \ windows \ shell \ bagmr
access桌面:
ntuser . dat \ software \ Microsoft \ windows \ shell \ bag文件快捷方式(lnk)
XP:
C:\ % user profile % \ Recent
win 7/8/10:
C:\ % user profile % \ AppData \ road ing \ Microsoft \ Windows \ Recent \
C:\ % user profile % \ AppData \漫游\ Microsoft \ Office \ Recent \
6 .预取
Winxp/7/8/10:
C:\ Windows \ prefetch
7。上次访问mru
XP:
NTUSER . dat \ software \ Microsoft \ windows \ current version \ explorer \ com dl32 \ Lastvisited mru
Win 7/8/10:
NTUSER。DAT \软件\微软\视窗\当前版本\资源管理器\ ComDLG32 \ LastvisitedPidlMu
8。工业工程/边缘文件://
互联网浏览器
IE6-7:
%用户配置文件% \本地设置\历史\历史。IE5
IE8-9:
%用户配置文件% \应用数据\本地\微软\窗口\历史\历史。IE5
IE10-11
% USERPRofile % \ AppData \ Local \ Microsoft \ windows \ web cache \ web cachev *。dat
9。办公室最近使用的文件。DAT \软件\ Microsoft \ Office \ Version \ user mru \ liveid _ # # # \ file mru
15.0 = Office 365
09。网络活动/物理位置
1。时区
系统配置单元:
系统\当前控制集\控制\时区信息
2 . cookie
1)互联网资源管理器
IE6-8:
%用户配置文件% \应用数据\漫游\ Microsoft \ Windows \ Cookies
IE10:
%用户配置文件% \应用数据\漫游\ Microsoft \ Windows \ Cookies
IE11:
%用户配置文件% \应用数据\本地\ Microsoft \ Windows \ InErandomtext>。。默认\ cookie . SQLite
Win 7/8/10:
% USERPRofile % \ AppData \漫游\ Mozilla \ Firefox \ Profiles \ & ltrandomtext>。。默认\ cookie . SQLite
3)Chrome
XP:
% USERPRofile % \本地设置\应用程序数据\谷歌\ Chrome \用户数据\默认\本地存储
Win 7/8/10:
% USERPRofile % \ AppData \本地\谷歌\ Chrome \用户数据\默认\本地存储
3。网络历史
win7/8/10 softwarehive:
软件\ Microsoft \ Windows NT \ current version \ network list \ signals \ Unmanaged
软件\ Microsoft \ Windows NT \ current version \ NetworkList \ NetworkList \ Signatures \ Managed
软件\ Microsoft \ Windows NT \ current version \ NetworkList \ Nla \缓存
4。无线局域网事件日志。evtx
5。浏览器搜索日志
internet explorer
ie6-7:
% user profile % Local Settings \ History \ History。IE5
IE8-9:
%用户配置文件% \应用数据\本地\微软\窗口\历史\历史。IE5
IE10-11:
% USERPRofile % \ AppData \ Local \ Microsoft \ Windows \网络缓存\网络缓存*。dat Firefox
XP:
% user profile % \应用程序数据\ Mozilla \ Firefox \ Profiles \ & ltrandomtext>。。默认\ places . SQLite
Win 7/8/10:
% user profile % \ AppData \漫游\ Mozilla \ Firefox \ Profiles \ & ltrandomtext>。。default\places.sqlite
6。系统资源利用管理器(SRUM)(无线网络)
软件\ Microsoft \ Windows nt \ current version \ SRUM \ Extensions
{ 973 F5 D5 C-1 d90-4944-BE8E-24 b 94231 a 174 } = Windows网络数据使用监视器
{ DD 6636 C4-8929-4683-974 e-22 C 046 a 43763 } = Windows网络连接使用监视器
软件\ Microsoft \ wl
