Windows取证分析基础

您所在的位置：网站首页 › db-wal文件解析 › Windows取证分析基础

Windows取证分析基础

2023-08-24 07:51| 来源: 网络整理| 查看: 265

windows 时间规则

在这里插入图片描述

创建文件：文件修改、文件访问、文件metadata时间改变访问文件：文件访问时间改变（NTFS win7+不变）文件修改：文件修改，文件metadata时间改变文件重命名：文件metadata时间改变拷贝文件：文件修改时间继承自原始，文件访问，文件metadata，文件创建时间改变文件移动： 1）同卷移动文件：文件metadata时间改变 2）跨卷移动文件通过系统命令：修改时间来自原始文件，文件访问，文件metadata，文件创建时间改变通过复制粘贴：文件修改，文件metadata，文件创建都来自原始文件，访问时间为复制粘贴时间文件下载

在这里插入图片描述

打开/保存传输单元 XP：NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU Win7/8/10： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU 电子邮件附件：outlook XP： %USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook Win7/8/10： %USERPROFILE%\AppData\Local\Microsoft\Outlook OLK： HKEY_CURRENT_USER\Software\Microsoft\Office\对应版本\Outlook\Security 微信桌面版 C:\Users\\Documents\WeChat Files\微信号\Files QQ电脑版 C:\Users\\Documents\Tencent Files\QQ号\FileRecv skype历史 XP： C:\Documents and Settings\\Application\Skype\ Win7/8/10： C:\%USERPROFILE%\AppData\Roaming\Skype\ 浏览器

1）internet explorer

IE8-9： %USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat IE10-11： %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

2）firefox

v3-25： %userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\.default\downloads.sqlite v26+： %userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\.default\places.sqlite Table:moz_annos

3）chrome

Win7/8/10： %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History 下载（firefox，internet Explorer）管理器

1）firefox

XP： %userprofile%\Application Data\Mozilla\ Firefox\Profiles\.default\downloads.sqlite Win7/8/10： %userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\.default\downloads.sqlite

2）Internet Explorer

IE8-9： %USERPROFILE%\AppData\Roaming\Microsoft\Windows\ IEDownloadHistory\ IE10-11： %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\ WebCacheV*.dat ADS Zone.Identifier(备用数据流)

从XP SP2开始，当文件通过浏览器从“Internet区域”下载到NTFS卷时，会向文件中添加备用数据流。

程序执行

在这里插入图片描述

UserAssist NTUSER.DAT HIVE NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\ {GUID}\Count Windows10 时间轴 C:\Users\\AppData\Local\ConnectedDevicesPlatform\L.\ActivitiesCache.db 最近应用 NTUSER.DAT\Software\Microsoft\Windows\Current Version\Search\RecentApps shimcache XP： SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility Win7/8/10： SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache 快速访问 Win7/8/10： C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\ AutomaticDestinations Amcache.hve(ProgramDataUpdater) Win7/8/10： C:\Windows\AppCompat\Programs\Amcache.hve 系统资源利用率管理器（SRUM）（数据库） SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:\Windows\ System32\SRU\ BAM/DAM SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID} 最新访问的MRU XP： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedMRU Win7/8/10： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU prefetch WinXP/7/8/10： C:\Windows\Prefetch 文件删除/文件信息

在这里插入图片描述

xp 查询-ACMRU NTUSER.DAT HIVE NTUSER.DAT\Software\Microsoft\Search Assistant\ACMru\#### 缩略图（Thumbcache） C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer Thumbs.db WinXP/Win8|8.1：在启用了家庭组的任何地方自动创建。 Win7/8/10：在任何地方自动创建并通过UNC路径（本地或远程）访问。 IE|Edge file:// # Internet Explorer IE6-7： %USERPROFILE%\LocalSettings\History\History.IE5 IE8-9： %USERPROFILE%\AppData\Local\Microsoft\WindowsHistory\History.IE5 IE10-11： %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat 轮词查询 Win7/8/10 NTUSER.DAT Hive： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery win7/8/10回收站隐藏的系统文件夹 C:\$Recycle.bin XP回收站隐藏的系统文件夹 C:\RECYCLER" 2000/NT/XP/2003 浏览器资源

在这里插入图片描述

历史信息

1）Internet Explorer

IE6-7： %USERPROFILE%\Local Settings\History\History.IE5 IE8-9： %USERPROFILE%\AppData\Local\Microsoft\Windows\History\ History.IE5 IE10, 11, Edge： %USERPROFILE%\AppData\Local\Microsoft\Windows\ WebCache\WebCacheV*.dat

2）Firefox

XP： %USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\.default\places.sqlite Win7/8/10： %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\.default\places.sqlite

3）Chrome

XP： %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\History Win7/8/10： %USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\History

4）QQ浏览器

%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\History 书签信息

1）Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下Favorites键值 Edge: %USERPROFILE%\AppData\Local\Packages\microsoft. microsoftedge_\AC\MicrosoftEdge\Cookies

2）Firefox

XP： %USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\.default\places.sqlite Win7/8/10： %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\.default\places.sqlite

3）Chrome

XP： %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Bookmarks Win7/8/10： %USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Bookmarks

4）QQ浏览器

%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\QQ号\Bookmarks_01 %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Bookmarks_01 cookies

1）Internet Explorer

IE8-9： %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies IE10： %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies IE11： %USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies Edge： %USERPROFILE%\AppData\Local\Packages\microsoft. microsoftedge_\AC\MicrosoftEdge\Cookies

2）Firefox

XP： %USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\.default\cookies.sqlite Win7/8/10： %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\.default\cookies.sqlite

3）Chrome

XP： %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\ Win7/8/10： %USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Local Storage\

4）QQ浏览器

%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Cookies 缓存

1）Internet Explorer

IE8-9： %USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 IE10： %USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 IE11： %USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache\IE Edge： %USERPROFILE%\AppData\Local\Packages\microsoft.microsoftedge_\AC\MicrosoftEdge\Cache

2）Firefox

XP： %USERPROFILE%\Local Settings\ApplicationData\Mozilla\Firefox\ Profiles\.default\Cache Win7/8/10： %USERPROFILE%\AppData\Local\Mozilla\Firefox\ Profiles\.default\Cache

3）Chrome

XP： %USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache - data_# and f_###### Win7/8/10： %USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Cache\ - data_# and f_###### flash和超级cookies Win7/8/10： %APPDATA%\Roaming\Macromedia\FlashPlayer\#SharedObjects\ 会话还原

1）Internet Explorer

Win7/8/10： %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery

2）Firefox

Win7/8/10： %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\sessionstore.js

3）Chrome

Win7/8/10： %USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\ ## 文件=当前会话，当前打开的标签，最后一次会话，最后的标签外部设备/USB使用

在这里插入图片描述

关键字认证 SYSTEM\CurrentControlSet\Enum\USBSTOR SYSTEM\CurrentControlSet\Enum\USB 插入/拔出时间

1）即插即用日志文件(第一次)

XP： C:\Windows\setupapi.log Win7/8/10： C:\Windows\inf\setupapi.dev.log

2）（第一次，最后一次，拔出）(在Win7/8/10)

System Hive： \CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\ {83da6326-97a6-4088-9453-a19231573b29}\#### 0064 = 第一次安装(Win7-10) 0066 = 最后一次连接 (Win8-10) 0067 = 最后一次拔出 (Win8-10) 用户查找GUID从SYSTEM\MountedDevices NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2 pnP 事件 Win7/8/10： %system root%\System32\winevt\logs\System.evtx 卷序列号 SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ ENDMgmt 驱动器号和卷名 XP：找到ParentIdPrefix – SYSTEM\CurrentControlSet\Enum\ USBSTOR Win7/8/10： SOFTWARE\Microsoft\Windows Portable Devices\Devices SYSTEM\MountedDevices 文件快捷方式（LNK） XP： %USERPROFILE%\Recent Win7/8/10： %USERPROFILE%\AppData\Roaming\Microsoft\Windows\ Recent %USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent 账户使用情况

在这里插入图片描述

上次登录 • C:\windows\system32\config\SAM • SAM\Domains\Account\Users 上次密码修改 • C:\windows\system32\config\SAM • SAM\Domains\Account\Users 远程桌面使用情况 Win7/8/10： %SYSTEM ROOT%\System32\winevt\logs\Security.evtx 服务事件所有事件ID对应的系统日志 7034 - 服务意外崩溃 7035 - 服务发送了启动/停止控制 7036 - 服务已启动或已停止 7040 - 启动类型已更改（Boot | On Request | Disabled） 7045 - 系统上安装了一项服务（Win2008R2 +） 4697 - 系统上安装了一项服务（来自安全日志）登录类型 Win7/8/10： Event ID 4624 授权事件 Win7/8/10： %SYSTEM ROOT%\System32\winevt\logs\Security.evtx 成功或失败登录 Win7/8/10： %system root%\System32\winevt\logs\Security.evtx 文件/文件夹打开

在这里插入图片描述

打开/保存 MRU XP： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ OpenSaveMRU Win7/8/10： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU 最近文件 NTUSER.DAT： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 快速访问 Win7/8/10： C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations shell bages 访问Explorer： • USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags • USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU 访问桌面： • NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU • NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags 文件快捷方式（LNK） XP： C:\%USERPROFILE%\Recent Win7/8/10： C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\ C:\%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent\ prefetch WinXP/7/8/10： C:\Windows\Prefetch 最后访问的MRU XP： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDl32\ LastVisitedMRU Win7/8/10： NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU IE/Edge file:// # Internet Explorer IE6-7： %USERPROFILE%\Local Settings\History\ History.IE5 IE8-9： %USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5 IE10-11 %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat office最近使用文件 NTUSER.DAT\Software\Microsoft\Office\VERSION • 14.0 = Office 2010 • 11.0 = Office 2003 • 12.0 = Office 2007 • 10.0 = Office XP NTUSER.DAT\Software\Microsoft\Office\VERSION\UserMRU\LiveID_####\FileMRU • 15.0 = Office 365 网络活动/物理位置

在这里插入图片描述

时区 SYSTEM Hive： SYSTEM\CurrentControlSet\Control\TimeZoneInformation cookies

1）Internet Explorer

IE6-8： %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies IE10： %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies IE11： %USERPROFILE%\AppData\Local\Microsoft\Windows\InetCookies

2）Firefox

XP： %USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\.default\ cookies.sqlite Win7/8/10： %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\cookies.sqlite

3）Chrome

XP： %USERPROFILE%\Local Settings\ApplicationData\Google\Chrome\User Data\Default\ Local Storage Win7/8/10： %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Local Storage 网络历史 Win7/8/10 SOFTWARE HIVE： • SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged • SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed • SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache 无线局域网事件日志 Microsoft-Windows-WLAN-AutoConfig Operational.evtx 浏览器搜索记录 Internet Explorer IE6-7： %USERPROFILE%\Local Settings\History\History.IE5 IE8-9： %USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5 IE10-11： %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat Firefox XP： %userprofile%\Application Data\Mozilla\Firefox\Profiles\.default\places.sqlite Win7/8/10： %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\.default\places.sqlite 系统资源利用率管理器（SRUM）（无线网络） • SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions • {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor • {DD6636C4-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor • SOFTWARE\Microsoft\WlanSvc\Interfaces\ C:\Windows\System32\SRU\

本文转自公众号：效率源

原文地址：https://mp.weixin.qq.com/s/NKHbVSFdHGrdDu-Gd3F_Hw

【本文地址】

Windows取证分析基础

Windows取证分析基础

今日新闻

推荐新闻