| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置。
[出自:jiwo.org]
01
windows 时间规则
1 标准信息
创建文件:文件修改、文件访问、文件metadata时间改变
访问文件:文件访问时间改变(NTFS win7+不变)
文件修改:文件修改,文件metadata时间改变
文件重命名:文件metadata时间改变
拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变
文件移动:
1)同卷移动文件:文件metadata时间改变
2)跨卷移动文件
• 通过系统命令:修改时间来自原始文件,文件访问,文件metadata,文件创建时间改变
• 通过复制粘贴:文件修改,文件metadata,文件创建都来自原始文件,访问时间为复制粘贴时间
02
文件下载
XP:NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU
2 电子邮件附件:outlook
XP:
%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook
Win7/8/10:
%USERPROFILE%\AppData\Local\Microsoft\Outlook
OLK:
HKEY_CURRENT_USER\Software\Microsoft\Office\对应版本\Outlook\Security
3 微信桌面版C:\Users\<username>\Documents\WeChat Files\微信号\Files4
QQ电脑版C:\Users\<username>\Documents\Tencent Files\QQ号\FileRecv5
skype历史
XP:
C:\Documents and Settings\<username>\Application\Skype\<skype-name>
Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Skype\<skype-name>
6 浏览器
1)internet explorer
IE8-9:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat
IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
2)firefox
v3-25:
%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite
v26+:
%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\places.sqlite Table:moz_annos
3)chrome
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History
7 下载(firefox,internet Explorer)管理器
1)firefox
XP:
%userprofile%\Application Data\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite
Win7/8/10:
%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite
2)Internet Explorer
IE8-9:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\ IEDownloadHistory\
IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\ WebCacheV*.dat
8 ADS Zone.Identifier(备用数据流)
从XP SP2开始,当文件通过浏览器从“Internet区域”下载到NTFS卷时,会向文件中添加备用数据流。
03
程序执行
1 UserAssist
• NTUSER.DAT HIVE
• NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\ {GUID}\Count
2 Windows10 时间轴
C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<profile>\ActivitiesCache.db
3 最近应用
NTUSER.DAT\Software\Microsoft\Windows\Current Version\Search\RecentApps
4 shimcache
XP:
SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility
Win7/8/10:
SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
5 快速访问
Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\ AutomaticDestinations
6 Amcache.hve(ProgramDataUpdater)
Win7/8/10:
C:\Windows\AppCompat\Programs\Amcache.hve
7 系统资源利用率管理器(SRUM)(数据库)
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:\Windows\ System32\SRU\
8 BAM/DAM
• SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
• SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}
9 最新访问的MRU
XP:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedMRU
Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU
10 prefetch
WinXP/7/8/10:
C:\Windows\Prefetch
04
文件删除/文件信息
1 xp 查询-ACMRU
• NTUSER.DAT HIVE NTUSER.DAT\Software\Microsoft\Search Assistant\ACMru\####
2 缩略图(Thumbcache)
C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer
3 Thumbs.db
WinXP/Win8|8.1:
在启用了家庭组的任何地方自动创建。
Win7/8/10:
在任何地方自动创建并通过UNC路径(本地或远程)访问。
4 IE|Edge file://
Internet Explorer
IE6-7:
%USERPROFILE%\LocalSettings\History\History.IE5
IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\WindowsHistory\History.IE5
IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
5 轮词查询
Win7/8/10 NTUSER.DAT Hive:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
6 win7/8/10回收站
隐藏的系统文件夹
• C:\$Recycle.bin
7 XP回收站
隐藏的系统文件夹
• C:\RECYCLER" 2000/NT/XP/2003
05
浏览器资源
1 历史信息
1)Internet Explorer
IE6-7:
%USERPROFILE%\Local Settings\History\History.IE5
IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\ History.IE5
IE10, 11, Edge:
%USERPROFILE%\AppData\Local\Microsoft\Windows\ WebCache\WebCacheV*.dat
2)Firefox
XP:
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random text>.default\places.sqlite
Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\<random text>.default\places.sqlite
3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\History
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\History
4)QQ浏览器
%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\History
1)Internet Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下Favorites键值
Edge:
%USERPROFILE%\AppData\Local\Packages\microsoft.
microsoftedge_<APPID>\AC\MicrosoftEdge\Cookies
2)Firefox
XP:
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random text>.default\places.sqlite
Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\<random text>.default\places.sqlite
3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Bookmarks
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Bookmarks
4)QQ浏览器
• %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\QQ号\Bookmarks_01
• %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Bookmarks_01
1)Internet Explorer
IE8-9:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
IE10:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
IE11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies
Edge:
%USERPROFILE%\AppData\Local\Packages\microsoft.
microsoftedge_<APPID>\AC\MicrosoftEdge\Cookies
2)Firefox
XP:
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random
text>.default\cookies.sqlite
Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\
Profiles\<randomtext>.default\cookies.sqlite
3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User
Data\Default\Local Storage\
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\
Default\Local Storage\
4)QQ浏览器
%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Cookies
3 缓存
1)Internet Explorer
IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
IE10:
%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
IE11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache\IE
Edge:
%USERPROFILE%\AppData\Local\Packages\microsoft.microsoftedge_<APPID>\AC\MicrosoftEdge\Cache
2)Firefox
XP:
%USERPROFILE%\Local Settings\ApplicationData\Mozilla\Firefox\ Profiles\<randomtext>.default\Cache
Win7/8/10:
%USERPROFILE%\AppData\Local\Mozilla\Firefox\ Profiles\<randomtext>.default\Cache
3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache - data_# and f_######
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Cache\ - data_# and f_######
4 flash和超级cookies
Win7/8/10:
%APPDATA%\Roaming\Macromedia\FlashPlayer\#SharedObjects\<randompr ofileid>
5 会话还原
1)Internet Explorer
Win7/8/10:
%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery
2)Firefox
Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\sessionstore.js
3)Chrome
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\
文件=当前会话,当前打开的标签,最后一次会话,最后的标签
