Windows取证分析基础知识大全Word格式文档下载.docx
- 文档编号:22046811
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:23
- 大小:968.73KB
Windows取证分析基础知识大全Word格式文档下载.docx
《Windows取证分析基础知识大全Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Windows取证分析基础知识大全Word格式文档下载.docx(23页珍藏版)》请在冰豆网上搜索。
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU
2.电子邮件附件:
outlook
%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook
%USERPROFILE%\AppData\Local\Microsoft\Outlook
OLK:
HKEY_CURRENT_USER\Software\Microsoft\Office\对应版本\Outlook\Security
3.微信桌面版
C:
\Users\<
username>
\Documents\WeChatFiles\微信号\Files
4.QQ电脑版
\Documents\TencentFiles\QQ号\FileRecv
5.skype历史
\DocumentsandSettings\<
\Application\Skype\<
skype-name>
\%USERPROFILE%\AppData\Roaming\Skype\<
6.浏览器
1)internetexplorer
IE8-9:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat
IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
2)firefox
v3-25:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\<
randomtext>
.default\downloads.sqlite
v26+:
.default\places.sqliteTable:
moz_annos
3)chrome
%USERPROFILE%\AppData\Local\Google\Chrome\UserData\Default\History
7.下载(firefox,internetExplorer)管理器
1)firefox
%userprofile%\ApplicationData\Mozilla\Firefox\Profiles\<
2)InternetExplorer
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
8.ADSZone.Identifier(备用数据流)
从XPSP2开始,当文件通过浏览器从“Internet区域”下载到NTFS卷时,会向文件中添加备用数据流。
03.程序执行
1.UserAssist
•NTUSER.DATHIVE
•NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\{GUID}\Count
2.Windows10时间轴
profile>
\AppData\Local\ConnectedDevicesPlatform\L.<
\ActivitiesCache.db
3.最近应用
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps
4.shimcache
SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility
SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
5.快速访问
\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
6.Amcache.hve(ProgramDataUpdater)
\Windows\AppCompat\Programs\Amcache.hve
7.系统资源利用率管理器(SRUM)(数据库)
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions{d10ca2fe-6fcf4f6d-848e-b2e99266fa89}=ApplicationResourceUsageProviderC:
\Windows\System32\SRU\
8.BAM/DAM
•SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
•SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}
9.最新访问的MRU
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
10.prefetch
WinXP/7/8/10:
\Windows\Prefetch
04.文件删除/文件信息
1.xp查询-ACMRU
•NTUSER.DATHIVENTUSER.DAT\Software\Microsoft\SearchAssistant\ACMru\####
2.缩略图(Thumbcache)
\%USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer
3.Thumbs.db
WinXP/Win8|8.1:
在启用了家庭组的任何地方自动创建。
在任何地方自动创建并通过UNC路径(本地或远程)访问。
4.IE|Edgefile:
//
InternetExplorer
IE6-7:
%USERPROFILE%\LocalSettings\History\History.IE5
%USERPROFILE%\AppData\Local\Microsoft\WindowsHistory\History.IE5
5.轮词查询
Win7/8/10NTUSER.DATHive:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
6.win7/8/10回收站
隐藏的系统文件夹
•C:
\$Recycle.bin
7.XP回收站
\RECYCLER"
2000/NT/XP/2003
05.浏览器资源
1.历史信息
1)InternetExplorer
%USERPROFILE%\LocalSettings\History\History.IE5
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5
IE10,11,Edge:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
2)Firefox
%USERPROFILE%\ApplicationData\Mozilla\Firefox\Profiles\<
.default\places.sqlite
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<
3)Chrome
%USERPROFILE%\LocalSettings\ApplicationData\Google\Chrome\UserData\Default\History
%USERPROFILE%\AppData\Local\Google\Chrome\UserData\Default\History
4)QQ浏览器
%USERPROFILE%\AppData\Local\Tencent\QQBrowser\UserData\Default\History
2.书签信息
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders下Favorites键值
Edge:
%USERPROFILE%\AppData\Local\Packages\microsoft.
microsoftedge_<
APPID>
\AC\MicrosoftEdge\Cookies
%USERPROFILE%\LocalSettings\ApplicationData\Google\Chrome\UserData\Default\Bookmarks
%USERPROFILE%\AppData\Local\Google\Chrome\UserData\Default\Bookmarks
•%USERPROFILE%\AppData\Local\Tencent\QQBrowser\UserData\Default\QQ号\Bookmarks_01
•%USERPROFILE%\AppData\Local\Tencent\QQBrowser\UserData\Default\Bookmarks_01
3.cookies
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
IE10:
IE11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
Edge:
random
text>
.default\cookies.sqlite
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\
Profiles\<
randomtext>
%USERPROFILE%\LocalSettings\ApplicationData\Google\Chrome\User
Data\Default\LocalStorage\
%USERPROFILE%\AppData\Local\Google\Chrome\UserData\
Default\LocalStorage\
%USERPROFILE%\AppData\Local\Tencent\QQBrowser\UserData\Default\Cookies
4.缓存
%USERPROFILE%\AppData\Local\Microsoft\Windows\TemporaryInternetFiles\Content.IE5
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache\IE
%USERPROFILE%\AppData\Local\Packages\microsoft.microsoftedge_<
\AC\MicrosoftEdge\Cache
%USERPROFILE%\LocalSettings\ApplicationData\Mozilla\Firefox\Profiles\<
.default\Cache
%USERPROFILE%\AppData\Local\Mozilla\Firefox\Profiles\<
%USERPROFILE%\LocalSettings\ApplicationData\Google\Chrome\UserData\Default\Cache-data_#andf_######
%USERPROFILE%\AppData\Local\Google\Chrome\UserData\Default\Cache\-data_#andf_######
5.flash和超级cookies
%APPDATA%\Roaming\Macromedia\FlashPlayer\#SharedObjects\<
randomprofileid>
6.会话还原
%USERPROFILE%/AppData/Local/Microsoft/InternetExplorer/Recovery
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<
.default\sessionstore.js
%USERPROFILE%\AppData\Local\Google\Chrome\UserData\Default\
文件=当前会话,当前打开的标签,最后一次会话,最后的标签
06.外部设备/USB使用
1.关键字认证
•SYSTEM\CurrentControlSet\Enum\USBSTOR
•SYSTEM\CurrentControlSet\Enum\USB
2.插入/拔出时间
1)即插即用日志文件(第一次)
\Windows\setupapi.log
\Windows\inf\setupapi.dev.log
2)(第一次,最后一次,拔出)(在Win7/8/10)
SystemHive:
\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\{83da6326-97a6-4088-9453-a19231573b29}\####
0064=第一次安装(Win7-10)
0066=最后一次连接(Win8-10)
0067=最后一次拔出(Win8-10)
3.用户
•查找GUID从SYSTEM\MountedDevices
•NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
4.pnP事件
%systemroot%\System32\winevt\logs\System.evtx
5.卷序列号
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ENDMgmt
6.驱动器号和卷名
找到ParentIdPrefix–SYSTEM\CurrentControlSet\Enum\USBSTOR
•SOFTWARE\Microsoft\WindowsPortableDevices\Devices
•SYSTEM\MountedDevices
7.文件快捷方式(LNK)
%USERPROFILE%\Recent
•%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent
•%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent
07.账户使用情况
1.上次登录
\windows\system32\config\SAM
•SAM\Domains\Account\Users
2.上次密码修改
\windows\system32\config\SAM
3.远程桌面使用情况
%SYSTEMROOT%\System32\winevt\logs\Security.evtx
4.服务事件
所有事件ID对应的系统日志
7034
-服务意外崩溃
7035
-服务发送了启动/停止控制
7036
-服务已启动或已停止
7040
-启动类型已更改(Boot|OnRequest|Disabled)
7045
-系统上安装了一项服务(Win2008R2+)
4697
-系统上安装了一项服务(来自安全日志)
5.登录类型
EventID4624
6.授权事件
7.成功或失败登录
%systemroot%\System32\winevt\logs\Security.evtx
08.文件/文件夹打开
1.打开/保存MRU
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
2.最近文件
NTUSER.DAT:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
3.快速访问
\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
4.shellbages
访问Explorer:
•USRCLASS.DAT\LocalSettings\Software\Microsoft\Windows\Shell\Bags
•USRCLASS.DAT\LocalSettings\Software\Microsoft\Windows\Shell\BagMRU
访问桌面:
•NTUSER.DAT\Software\Microsoft\Window
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 取证 分析 基础知识 大全