Windows取证分析基础知识大全

最新推荐文章于 2024-06-25 18:15:00 发布
最新推荐文章于 2024-06-25 18:15:00 发布
阅读量2.7k 收藏 40
点赞数 2
分类专栏: hack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dome_/article/details/105149164
版权
本文详述了Microsoft Windows操作系统的数字取证基础知识,包括时间规则、文件下载、程序执行、文件删除/信息、浏览器资源、外部设备使用、账户活动、文件访问等关键证据的定位方法。介绍了各种日志、注册表项、文件存储位置,帮助取证分析人员快速掌握关键信息。
摘要由CSDN通过智能技术生成

想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置

 

 

 

◆◆

文章精华大合集

 

◆◆

 

 

 

 

01

windows 时间规则

 

 

1

 

 

标准信息

创建文件:文件修改、文件访问、文件metadata时间改变

访问文件:文件访问时间改变(NTFS win7+不变)

文件修改:文件修改,文件metadata时间改变

文件重命名:文件metadata时间改变

拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变

文件移动:

1)同卷移动文件:文件metadata时间改变

2)跨卷移动文件

• 通过系统命令:修改时间来自原始文件,文件访问,文件metadata,文件创建时间改变

• 通过复制粘贴:文件修改,文件metadata,文件创建都来自原始文件,访问时间为复制粘贴时间

 

02

文件下载

 

 

1

 

 

打开/保存传输单元

XP:NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

 

Win7/8/10:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

2

 

 

电子邮件附件:outlook

XP:

%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook

 

Win7/8/10:

%USERPROFILE%\AppData\Local\Microsoft\Outlook

 

OLK:

HKEY_CURRENT_USER\Software\Microsoft\Office\对应版本\Outlook\Security

3

 

 

微信桌面版

C:\Users\<username>\Documents\WeChat Files\微信号\Files

4

 

 

QQ电脑版

C:\Users\<username>\Documents\Tencent Files\QQ号\FileRecv

5

 

 

skype历史

XP:

C:\Documents and Settings\<username>\Application\Skype\<skype-name>

 

Win7/8/10:

C:\%USERPROFILE%\AppData\Roaming\Skype\<skype-name>

6

 

 

浏览器

1)internet explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat

 

IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

 

2)firefox

v3-25:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite

 

v26+:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\places.sqlite Table:moz_annos

 

3)chrome

Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History

7

 

 

下载(firefox,internet Explorer)管理器

1)firefox

XP:

%userprofile%\Application Data\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite

 

Win7/8/10:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite

 

2)Internet Explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\ IEDownloadHistory\

 

IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\ WebCacheV*.dat

8

 

 

ADS Zone.Identifier(备用数据流)

从XP SP2开始,当文件通过浏览器从“Internet区域”下载到NTFS卷时,会向文件中添加备用数据流。

 

 

03

程序执行

 

 

1

 

最低0.47元/天 解锁文章
K'illCode
关注
  • 2
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
C:\Windows\Prefetch
csdn_wuwt的博客
09-25 3292
C:\Windows\Prefetch 由于电脑安装软件比较多,最近发现每次开机后就会有一些已经卸载后的软件弹窗提示升级… 最后发现是在C:\Windows\Prefetch该路径下还留存有这个软件的东西,导致的开机启动提示升级问题。 C:\Windows\Prefetch 文件夹左作用是? 这就需要现将一段历史: 在Windows XP/2003操作系统中有一个名为prefetcher的服务,这是微软采用的一种全新系统后台数据预读机制,它可以提高系统性能,加快Windows XP/2003的启动速度,经过
Windows取证分析.pdf
01-07
Windows取证分析》的写作源于实战的需要,主要关注Windows取证分析这一技术领域,主要讨论了Windows统开机和关机的不同时刻对证据数据收集和分析的技术问题,重点阐述了Windows内存分析、注册表分析、文件分析、可执行文件分析,以及Rootkits等内容。《Windows取证分析》不仅为取证分析人员、调查人员和应急响应人员提供参考,也可为政府和公司的调查人员、司法官员及对Windows取证分析感兴趣的读者提供参考和帮助。
Windows操作系统环境下调查USB设备使用痕迹方法研究
qq_41786318的博客
07-06 1万+
http://www.xsjs-cifs.com/article/2015/1008-3650-40-2-138.htmlWindows操作系统环境下调查USB设备使用痕迹方法研究USB是一种外部总线标准, Universal Serial BUS(通用串行总线)的英文缩写, 用于电脑与外部设备的连接和通讯。典型的USB设备主要包括U盘、移动硬盘、数码相机、扫描仪、图像设备、打印机、键盘和鼠标等。...
浏览器取证分析
最新发布
2401_84466336的博客
06-25 890
Windows系统中,Google Chrome的配置文件存放在目录下。只有一个账号的数据存储目录:该路径下的主要文件:BookmarksCookiesHistoryLogin DataShortcutsTop SitesWeb Data用winhex打开,其中,Bookmarks(书签) 是JSON文件,而且是明文存储。"roots": {"id": "5",} ],"id": "1","name": "书签栏",},"other": {"id": "2",
Windows传统取证的一些笔记
wha1e的博客
06-13 2704
前置技能基本大同小异,互联网上资源很多。甚至说不明白这些知识随便翻,一直翻下去也可能找到答案,但是了解这些基本知识可以节省很多时间,提高命中率。
电子数据取证之网站分析和重构基础
知远同学的博客
04-28 1818
网站页面数据;服务器镜像文件;网站代码+数据库文件;静态分析:通过证据分析软件自动识别,可以完成静态分析;动态分析:使用仿真软件启动镜像的操作系统,并对网站进行配置和访问;进入目录 cd列出文件 ls网卡配置 ifconfig端口 netstat历史命令 last。
在c语言windows文件的作用,请教一下C:\WINDOWS\Prefetch这个文件夹的作用是 爱问知识人...
weixin_36368271的博客
05-16 525
和预读文件说Bye-Bye熟知Windows XP启动过程的用户就会知道,真正与系统启动速度关系最大的是Windows文件夹中的一个Prefetch文件夹。这是从Windows XP操作系统开始后增加的一项新功能——预读取。微软的本意是利用预读取功能来提高系统性能、加快系统启动和文件读取的速度。但如果留心观察,便会发现其中的文件会随着使用时间的增加而日益增多,而且都是一些以PF为扩展名的文件。这是...
Windows取证分析
kanone0seele的专栏
06-23 5356
RT
Windows DFIR数字取证与事件响应
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全事件。DFIR流程通常包括以下几个关键步骤: 1. **准备阶段**: - 建立和训练一个专业的应急响应团队。 - 制定和维护应急...
取证分析之日志分析.zip
02-05
在IT行业中,日志分析是数据取证分析的重要组成部分,它涉及到网络安全、系统监控、故障排查等多个领域。"取证分析之日志分析.zip"这个压缩包文件显然提供了与日志解析和利用日志进行分析相关的资源。以下是根据这些...
windows取证
02-21
Windows取证是计算机取证的一个分支,主要涉及Windows操作系统中的数据恢复和分析工作。在系统遭受入侵后,取证分析显得尤为重要,它可以从多个角度对被破坏的机器进行分析,以便找出入侵者的痕迹,恢复事件的真实...
Windows取证分析
01-22
本书主要讨论了Windows系统开机和关机的不同时刻对证据数据收集和分析的技术问题,重点阐述了Windows内存分析、注册表分析、文件分析、可执行文件分析以及Rootkits等内容,本书不仅为取证分析人员、调查人员和应急...
Windows系统 清理C盘详细步骤
Wstars的博客
01-23 4353
清理C盘垃圾 C:\Windows\Prefetch进入这个目录,里面全是系统的缓存文件,可以直接删除,对电脑毫无影响 C:\Windows\SoftwareDistribution\Download进入这个目录下,这里面是下载的残余文件,可以直接删除 ...
Windows取证分析基础
Sp4rkW的博客
01-20 3611
windows 时间规则 创建文件:文件修改、文件访问、文件metadata时间改变 访问文件:文件访问时间改变(NTFS win7+不变) 文件修改:文件修改,文件metadata时间改变 文件重命名:文件metadata时间改变 拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变 文件移动: 1)同卷移动文件:文件metadata时间改变 2)跨卷移动文件 ...
windows/prefetch文件夹能删吗?里面都是些什么文件,有什么作用??
E529600的专栏
06-28 1万+
Prefetch是 预读文件,目的是加快软件的启动,长时间反而会景响启动速度,建议定期删除。下面是拷来的: Windows XP之所以自动创建Prefetch文件夹,是为了加快系统启动的进程。Windows XP将会自动记录下启动时运行的每一个程序,并根据这份资料来加快下一次启动的时间。电脑中的程序成千上万,即使出现重名的程序也不足为奇,碰到这种情况,系统将会自动在程序名的后面添加一个
和用户隐私相关的注册表项
CC专栏
06-10 1510
开始菜单“运行”日志记录: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 最近使用文档/最近打开的文件: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 最近运行的程
C:\Windows\Prefetch 里面的文件能否被删除?
热门推荐
weixin_37501775的博客
06-22 3万+
Windows10 1909:真正解决开机C:\WINDOWS\system32\config\systemprofile\Desktop不可用
gc8912的博客
05-14 1万+
Windows10 1909:真正解决开机C:\WINDOWS\system32\config\systemprofile\Desktop不可用Windows10 1909:真正解决开机C:\WINDOWS\system32\config\systemprofile\Desktop不可用问题解决方案 Windows10 1909:真正解决开机C:\WINDOWS\system32\config\systemprofile\Desktop不可用 Baidu和Google 那些修改注册表的解决方案真的是治标不治
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值