首頁 > 關于效率源 > 新聞和事件 > 技術視界
【技術視界】Windows取證分析基礎知識大全,趕快收藏!
2019年10月25日

想要做好取證分析工作,工具和技術只是輔助,思路才是核心和重點。本文將詳細分享Microsoft Windows操作系統的基礎數字取證知識,了解數據的存放位置和對應部件,便于快速確定關鍵證據,內容包括windows時間規則、文件下載、程序執行、文件刪除/文件信息、

瀏覽器資源、外部設備/USB使用、賬戶使用情況、文件/文件夾打開、網絡活動/物理位置。

本文內容多多,文末附帶【搜索】功能使用小技巧及本文思維導圖,希望它能成為你Windows取證分析工作的案頭必備寶典。

1571973038064015881.png

 

文章精華大合集

 

01.windows 時間規則

 

1571973061299091778.jpg

1.標準信息
創建文件:文件修改、文件訪問、文件metadata時間改變
訪問文件:文件訪問時間改變(NTFS win7+不變)
文件修改:文件修改,文件metadata時間改變
文件重命名:文件metadata時間改變
拷貝文件:文件修改時間繼承自原始,文件訪問,文件metadata,文件創建時間改變
文件移動:
1)同卷移動文件:文件metadata時間改變
2)跨卷移動文件
? 通過系統命令:修改時間來自原始文件,文件訪問,文件metadata,文件創建時間改變
? 通過復制粘貼:文件修改,文件metadata,文件創建都來自原始文件,訪問時間為復制粘貼時間

02.文件下載

1571973101893038973.jpg

1.打開/保存傳輸單元
XP:NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

2.電子郵件附件:outlook
XP:
%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook

Win7/8/10:
%USERPROFILE%\AppData\Local\Microsoft\Outlook

OLK:
HKEY_CURRENT_USER\Software\Microsoft\Office\對應版本\Outlook\Security

3.微信桌面版
C:\Users\<username>\Documents\WeChat Files\微信號\Files

4.QQ電腦版
C:\Users\<username>\Documents\Tencent Files\QQ號\FileRecv

5.skype歷史
XP:
C:\Documents and Settings\<username>\Application\Skype\<skype-name>

Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Skype\<skype-name>

6.瀏覽器
1)internet explorer
IE8-9:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat

IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

2)firefox
v3-25:
%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite

v26+:
%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\places.sqlite Table:moz_annos

3)chrome
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History

7.下載(firefox,internet Explorer)管理器
1)firefox
XP:
%userprofile%\Application Data\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite

Win7/8/10:
%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite

2)Internet Explorer
IE8-9:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\ IEDownloadHistory\

IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\ WebCacheV*.dat

8.ADS Zone.Identifier(備用數據流)
從XP SP2開始,當文件通過瀏覽器從“Internet區域”下載到NTFS卷時,會向文件中添加備用數據流。

03.程序執行

1571973208363086929.jpg

1.UserAssist
? NTUSER.DAT HIVE
? NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\ {GUID}\Count

2.Windows10 時間軸
C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<profile>\ActivitiesCache.db

3.最近應用
NTUSER.DAT\Software\Microsoft\Windows\Current Version\Search\RecentApps

4.shimcache
XP:
SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility

Win7/8/10:
SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

5.快速訪問
Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\ AutomaticDestinations

6.Amcache.hve(ProgramDataUpdater)
Win7/8/10:
C:\Windows\AppCompat\Programs\Amcache.hve

7.系統資源利用率管理器(SRUM)(數據庫)
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:\Windows\ System32\SRU\

8.BAM/DAM
? SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
? SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}

9.最新訪問的MRU
XP:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedMRU

Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU

10.prefetch
WinXP/7/8/10:
C:\Windows\Prefetch

04.文件刪除/文件信息

1571973285723051481.jpg

1.xp 查詢-ACMRU
? NTUSER.DAT HIVE NTUSER.DAT\Software\Microsoft\Search Assistant\ACMru\####

2.縮略圖(Thumbcache)
C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer

3.Thumbs.db
WinXP/Win8|8.1:
在啟用了家庭組的任何地方自動創建。

Win7/8/10:
在任何地方自動創建并通過UNC路徑(本地或遠程)訪問。

4.IE|Edge file://
Internet Explorer
IE6-7:
%USERPROFILE%\LocalSettings\History\History.IE5

IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\WindowsHistory\History.IE5

IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

5.輪詞查詢
Win7/8/10 NTUSER.DAT Hive:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

6.win7/8/10回收站
隱藏的系統文件夾
? C:\$Recycle.bin

7.XP回收站
隱藏的系統文件夾
? C:\RECYCLER" 2000/NT/XP/2003

05.瀏覽器資源

1571973344115086491.jpg

1.歷史信息
1)Internet Explorer
IE6-7:
%USERPROFILE%\Local Settings\History\History.IE5

IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\ History.IE5

IE10, 11, Edge:
%USERPROFILE%\AppData\Local\Microsoft\Windows\ WebCache\WebCacheV*.dat

2)Firefox
XP:
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random text>.default\places.sqlite

Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\<random text>.default\places.sqlite

3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\History

Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\History

4)QQ瀏覽器
%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\History

2.書簽信息
1)Internet Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下Favorites鍵值
Edge:
%USERPROFILE%\AppData\Local\Packages\microsoft.
microsoftedge_<APPID>\AC\MicrosoftEdge\Cookies

2)Firefox
XP:  
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random text>.default\places.sqlite

Win7/8/10:
 %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\<random text>.default\places.sqlite

3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Bookmarks

Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Bookmarks

4)QQ瀏覽器
? %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\QQ號\Bookmarks_01
? %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Bookmarks_01

3.cookies
1)Internet Explorer
IE8-9:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies

IE10:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies

IE11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies

Edge:
%USERPROFILE%\AppData\Local\Packages\microsoft.
microsoftedge_<APPID>\AC\MicrosoftEdge\Cookies

2)Firefox
XP:
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random
text>.default\cookies.sqlite

Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\
Profiles\<randomtext>.default\cookies.sqlite

3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User
Data\Default\Local Storage\

Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\
Default\Local Storage\

4)QQ瀏覽器
%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Cookies

4.緩存
1)Internet Explorer
IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

IE10:
%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

IE11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache\IE

Edge:
%USERPROFILE%\AppData\Local\Packages\microsoft.microsoftedge_<APPID>\AC\MicrosoftEdge\Cache

2)Firefox
XP:
%USERPROFILE%\Local Settings\ApplicationData\Mozilla\Firefox\ Profiles\<randomtext>.default\Cache

Win7/8/10:
%USERPROFILE%\AppData\Local\Mozilla\Firefox\ Profiles\<randomtext>.default\Cache

3)Chrome
XP:
%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache - data_# and f_######

Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Cache\ - data_# and f_######

5.flash和超級cookies
Win7/8/10:
%APPDATA%\Roaming\Macromedia\FlashPlayer\#SharedObjects\<randompr ofileid>

6.會話還原
1)Internet Explorer
Win7/8/10:
%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery

2)Firefox
Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\sessionstore.js

3)Chrome
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\
文件=當前會話,當前打開的標簽,最后一次會話,最后的標簽

06.外部設備/USB使用

1571973443475095262.jpg

1.關鍵字認證
? SYSTEM\CurrentControlSet\Enum\USBSTOR
? SYSTEM\CurrentControlSet\Enum\USB

2.插入/拔出時間
1)即插即用日志文件(第一次)
XP:
C:\Windows\setupapi.log

Win7/8/10:
C:\Windows\inf\setupapi.dev.log

2)(第一次,最后一次,拔出)(在Win7/8/10)
System Hive: 
\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\ {83da6326-97a6-4088-9453-a19231573b29}\####
0064 = 第一次安裝(Win7-10)
0066 = 最后一次連接 (Win8-10)
0067 = 最后一次拔出 (Win8-10)

3.用戶
? 查找GUID從SYSTEM\MountedDevices
? NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2

4.pnP 事件
Win7/8/10:
%system root%\System32\winevt\logs\System.evtx

5.卷序列號
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ ENDMgmt

6.驅動器號和卷名
XP:
找到ParentIdPrefix – SYSTEM\CurrentControlSet\Enum\ USBSTOR

Win7/8/10:
? SOFTWARE\Microsoft\Windows Portable Devices\Devices
? SYSTEM\MountedDevices

7.文件快捷方式(LNK)
XP:
%USERPROFILE%\Recent

Win7/8/10:
? %USERPROFILE%\AppData\Roaming\Microsoft\Windows\ Recent
? %USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent

07.賬戶使用情況

1571973521430037163.jpg

1.上次登錄
? C:\windows\system32\config\SAM 
? SAM\Domains\Account\Users

2.上次密碼修改
? C:\windows\system32\config\SAM
? SAM\Domains\Account\Users

3.遠程桌面使用情況
Win7/8/10:
%SYSTEM ROOT%\System32\winevt\logs\Security.evtx

4.服務事件
所有事件ID對應的系統日志
7034  - 服務意外崩潰
7035  - 服務發送了啟動/停止控制
7036  - 服務已啟動或已停止
7040  - 啟動類型已更改(Boot | On Request | Disabled)
7045  - 系統上安裝了一項服務(Win2008R2 +)
4697  - 系統上安裝了一項服務(來自安全日志)

5.登錄類型
Win7/8/10:
Event ID 4624

6.授權事件
Win7/8/10:
%SYSTEM ROOT%\System32\winevt\logs\Security.evtx

7.成功或失敗登錄
Win7/8/10:
%system root%\System32\winevt\logs\Security.evtx

08.文件/文件夾打開

1571973574602077103.jpg

1.打開/保存 MRU
XP:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ OpenSaveMRU

Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

2.最近文件
NTUSER.DAT:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

3.快速訪問
Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

4.shell bages
訪問Explorer:
? USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags
? USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

訪問桌面:
? NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
? NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags

5.文件快捷方式(LNK)
XP:
C:\%USERPROFILE%\Recent

Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent\

6.prefetch
WinXP/7/8/10:
C:\Windows\Prefetch

7.最后訪問的MRU
XP:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDl32\ LastVisitedMRU

Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU

8.IE/Edge file://
Internet Explorer
IE6-7: 
%USERPROFILE%\Local Settings\History\ History.IE5

IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5

IE10-11 
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

9.office最近使用文件
NTUSER.DAT\Software\Microsoft\Office\VERSION
? 14.0 = Office 2010
? 11.0 = Office 2003
? 12.0 = Office 2007
? 10.0 = Office XP

NTUSER.DAT\Software\Microsoft\Office\VERSION\UserMRU\LiveID_####\FileMRU
? 15.0 = Office 365

09.網絡活動/物理位置

1571973659150026038.jpg

1.時區
SYSTEM Hive:
SYSTEM\CurrentControlSet\Control\TimeZoneInformation

2.cookies
1)Internet Explorer
IE6-8:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies

IE10:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies

IE11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\InetCookies

2)Firefox
XP:
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<randomtext>.default\ cookies.sqlite

Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\cookies.sqlite

3)Chrome
XP:
%USERPROFILE%\Local Settings\ApplicationData\Google\Chrome\User Data\Default\ Local Storage

Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Local Storage

3.網絡歷史
Win7/8/10 SOFTWARE HIVE:
? SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
? SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed
? SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

4.無線局域網事件日志
Microsoft-Windows-WLAN-AutoConfig Operational.evtx

5.瀏覽器搜索記錄
Internet Explorer
IE6-7:
%USERPROFILE%\Local Settings\History\History.IE5

IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5

IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat Firefox

XP:
%userprofile%\Application Data\Mozilla\Firefox\Profiles\<randomtext>.default\places.sqlite

Win7/8/10:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\places.sqlite

6.系統資源利用率管理器(SRUM)(無線網絡)
? SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions
? {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor
? {DD6636C4-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor
? SOFTWARE\Microsoft\WlanSvc\Interfaces\ C:\Windows\System32\SRU\

 

本期投稿:朱大師
本期編輯:源妹
參考資料: