乾貨 | Windows取證分析基礎知識大全,趕快收藏!
- 2020 年 3 月 27 日
- 筆記
想要做好取證分析工作,工具和技術只是輔助,思路才是核心和重點。本文將詳細分享Microsoft Windows作業系統的基礎數字取證知識,了解數據的存放位置和對應部件,便於快速確定關鍵證據,內容包括windows時間規則、文件下載、程式執行、文件刪除/文件資訊、瀏覽器資源、外部設備/USB使用、賬戶使用情況、文件/文件夾打開、網路活動/物理位置。
◆◆
文章精華大合集
◆◆
01
windows 時間規則
1
標準資訊
創建文件:文件修改、文件訪問、文件metadata時間改變
訪問文件:文件訪問時間改變(NTFS win7+不變)
文件修改:文件修改,文件metadata時間改變
文件重命名:文件metadata時間改變
拷貝文件:文件修改時間繼承自原始,文件訪問,文件metadata,文件創建時間改變
文件移動:
1)同卷移動文件:文件metadata時間改變
2)跨卷移動文件
• 通過系統命令:修改時間來自原始文件,文件訪問,文件metadata,文件創建時間改變
• 通過複製粘貼:文件修改,文件metadata,文件創建都來自原始文件,訪問時間為複製粘貼時間
02
文件下載
1
打開/保存傳輸單元
XP:NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU
2
電子郵件附件:outlook
XP:
%USERPROFILE%LocalSettingsApplicationDataMicrosoftOutlook
Win7/8/10:
%USERPROFILE%AppDataLocalMicrosoftOutlook
OLK:
HKEY_CURRENT_USERSoftwareMicrosoftOffice對應版本OutlookSecurity
3
微信桌面版
C:Users<username>DocumentsWeChat Files微訊號Files
4
QQ電腦版
C:Users<username>DocumentsTencent FilesQQ號FileRecv
5
skype歷史
XP:
C:Documents and Settings<username>ApplicationSkype<skype-name>
Win7/8/10:
C:%USERPROFILE%AppDataRoamingSkype<skype-name>
6
瀏覽器
1)internet explorer
IE8-9:
%USERPROFILE%AppDataRoamingMicrosoftWindowsIEDownloadHistoryindex.dat
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat
2)firefox
v3-25:
%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
v26+:
%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultplaces.sqlite Table:moz_annos
3)chrome
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultHistory
7
下載(firefox,internet Explorer)管理器
1)firefox
XP:
%userprofile%Application DataMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
Win7/8/10:
%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
2)Internet Explorer
IE8-9:
%USERPROFILE%AppDataRoamingMicrosoftWindows IEDownloadHistory
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCache WebCacheV*.dat
8
ADS Zone.Identifier(備用數據流)
從XP SP2開始,當文件通過瀏覽器從「Internet區域」下載到NTFS卷時,會向文件中添加備用數據流。
03
程式執行
1
UserAssist
• NTUSER.DAT HIVE
• NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist {GUID}Count
2
Windows10 時間軸
C:Users<profile>AppDataLocalConnectedDevicesPlatformL.<profile>ActivitiesCache.db
3
最近應用
NTUSER.DATSoftwareMicrosoftWindowsCurrent VersionSearchRecentApps
4
shimcache
XP:
SYSTEMCurrentControlSetControlSessionManagerAppCompatibility
Win7/8/10:
SYSTEMCurrentControlSetControlSession ManagerAppCompatCache
5
快速訪問
Win7/8/10:
C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent AutomaticDestinations
6
Amcache.hve(ProgramDataUpdater)
Win7/8/10:
C:WindowsAppCompatProgramsAmcache.hve
7
系統資源利用率管理器(SRUM)(資料庫)
SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:Windows System32SRU
8
BAM/DAM
• SYSTEMCurrentControlSetServicesbamUserSettings{SID}
• SYSTEMCurrentControlSetServicesdamUserSettings{SID}
9
最新訪問的MRU
XP:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU
10
prefetch
WinXP/7/8/10:
C:WindowsPrefetch
04
文件刪除/文件資訊
1
xp 查詢-ACMRU
• NTUSER.DAT HIVE NTUSER.DATSoftwareMicrosoftSearch AssistantACMru####
2
縮略圖(Thumbcache)
C:%USERPROFILE%AppDataLocalMicrosoftWindowsExplorer
3
Thumbs.db
WinXP/Win8|8.1:
在啟用了家庭組的任何地方自動創建。
Win7/8/10:
在任何地方自動創建並通過UNC路徑(本地或遠程)訪問。
4
IE|Edge file://
Internet Explorer
IE6-7:
%USERPROFILE%LocalSettingsHistoryHistory.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat
5
輪詞查詢
Win7/8/10 NTUSER.DAT Hive:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerWordWheelQuery
6
win7/8/10回收站
隱藏的系統文件夾
• C:$Recycle.bin
7
XP回收站
隱藏的系統文件夾
• C:RECYCLER" 2000/NT/XP/2003
05
瀏覽器資源
1
歷史資訊
1)Internet Explorer
IE6-7:
%USERPROFILE%Local SettingsHistoryHistory.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistory History.IE5
IE10, 11, Edge:
%USERPROFILE%AppDataLocalMicrosoftWindows WebCacheWebCacheV*.dat
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultHistory
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultHistory
4)QQ瀏覽器
%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultHistory
2
書籤資訊
1)Internet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders下Favorites鍵值
Edge:
%USERPROFILE%AppDataLocalPackagesmicrosoft.
microsoftedge_<APPID>ACMicrosoftEdgeCookies
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultBookmarks
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultBookmarks
4)QQ瀏覽器
• %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultQQ號Bookmarks_01
• %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultBookmarks_01
3
cookies
1)Internet Explorer
IE8-9:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE10:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE11:
%USERPROFILE%AppDataLocalMicrosoftWindowsINetCookies
Edge:
%USERPROFILE%AppDataLocalPackagesmicrosoft.
microsoftedge_<APPID>ACMicrosoftEdgeCookies
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<random
text>.defaultcookies.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefox
Profiles<randomtext>.defaultcookies.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser
DataDefaultLocal Storage
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data
DefaultLocal Storage
4)QQ瀏覽器
%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultCookies
3
快取
1)Internet Explorer
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5
IE10:
%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5
IE11:
%USERPROFILE%AppDataLocalMicrosoftWindowsINetCacheIE
Edge:
%USERPROFILE%AppDataLocalPackagesmicrosoft.microsoftedge_<APPID>ACMicrosoftEdgeCache
2)Firefox
XP:
%USERPROFILE%Local SettingsApplicationDataMozillaFirefox Profiles<randomtext>.defaultCache
Win7/8/10:
%USERPROFILE%AppDataLocalMozillaFirefox Profiles<randomtext>.defaultCache
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultCache – data_# and f_######
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultCache – data_# and f_######
4
flash和超級cookies
Win7/8/10:
%APPDATA%RoamingMacromediaFlashPlayer#SharedObjects<randompr ofileid>
5
會話還原
1)Internet Explorer
Win7/8/10:
%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery
2)Firefox
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultsessionstore.js
3)Chrome
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data Default
文件=當前會話,當前打開的標籤,最後一次會話,最後的標籤
06
外部設備/USB使用
1
關鍵字認證
• SYSTEMCurrentControlSetEnumUSBSTOR
• SYSTEMCurrentControlSetEnumUSB
2
插入/拔出時間
1)即插即用日誌文件(第一次)
XP:
C:Windowssetupapi.log
Win7/8/10:
C:Windowsinfsetupapi.dev.log
2)(第一次,最後一次,拔出)(在Win7/8/10)
System Hive:
CurrentControlSetEnumUSBSTORVen_Prod_VersionUSBSerial#Properties {83da6326-97a6-4088-9453-a19231573b29}####
0064 = 第一次安裝(Win7-10)
0066 = 最後一次連接 (Win8-10)
0067 = 最後一次拔出 (Win8-10)
3
用戶
• 查找GUID從SYSTEMMountedDevices
• NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorer MountPoints2
4
pnP 事件
Win7/8/10:
%system root%System32winevtlogsSystem.evtx
5
卷序列號
SOFTWAREMicrosoftWindowsNTCurrentVersion ENDMgmt
6
驅動器號和卷名
XP:
找到ParentIdPrefix – SYSTEMCurrentControlSetEnum USBSTOR
Win7/8/10:
• SOFTWAREMicrosoftWindows Portable DevicesDevices
• SYSTEMMountedDevices
7
文件快捷方式(LNK)
XP:
%USERPROFILE%Recent
Win7/8/10:
• %USERPROFILE%AppDataRoamingMicrosoftWindows Recent
• %USERPROFILE%AppDataRoamingMicrosoftOfficeRecent
07
賬戶使用情況
1
上次登錄
• C:windowssystem32configSAM
• SAMDomainsAccountUsers
2
上次密碼修改
• C:windowssystem32configSAM
• SAMDomainsAccountUsers
3
遠程桌面使用情況
Win7/8/10:
%SYSTEM ROOT%System32winevtlogsSecurity.evtx
4
服務事件
所有事件ID對應的系統日誌
7034 – 服務意外崩潰
7035 – 服務發送了啟動/停止控制
7036 – 服務已啟動或已停止
7040 – 啟動類型已更改(Boot | On Request | Disabled)
7045 – 系統上安裝了一項服務(Win2008R2 +)
4697 – 系統上安裝了一項服務(來自安全日誌)
5
登錄類型
Win7/8/10:
Event ID 4624
6
授權事件
Win7/8/10:
%SYSTEM ROOT%System32winevtlogsSecurity.evtx
7
成功或失敗登錄
Win7/8/10:
%system root%System32winevtlogsSecurity.evtx
08
文件/文件夾打開
1
打開/保存 MRU
XP:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 OpenSaveMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU
2
最近文件
NTUSER.DAT:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
3
快速訪問
Win7/8/10:
C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations
4
shell bages
訪問Explorer:
• USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags
• USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBagMRU
訪問桌面:
• NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU
• NTUSER.DATSoftwareMicrosoftWindowsShellBags
5
文件快捷方式(LNK)
XP:
C:%USERPROFILE%Recent
Win7/8/10:
C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent
C:%USERPROFILE%AppDataRoamingMicrosoftOfficeRecent
6
prefetch
WinXP/7/8/10:
C:WindowsPrefetch
7
最後訪問的MRU
XP:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDl32 LastVisitedMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU
8
IE/Edge file://
Internet Explorer
IE6-7:
%USERPROFILE%Local SettingsHistory History.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
IE10-11
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat
9
office最近使用文件
NTUSER.DATSoftwareMicrosoftOfficeVERSION
• 14.0 = Office 2010
• 11.0 = Office 2003
• 12.0 = Office 2007
• 10.0 = Office XP
NTUSER.DATSoftwareMicrosoftOfficeVERSIONUserMRULiveID_####FileMRU
• 15.0 = Office 365
09
網路活動/物理位置
1
時區
SYSTEM Hive:
SYSTEMCurrentControlSetControlTimeZoneInformation
2
cookies
1)Internet Explorer
IE6-8:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE10:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE11:
%USERPROFILE%AppDataLocalMicrosoftWindowsInetCookies
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<randomtext>.default cookies.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultcookies.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplicationDataGoogleChromeUser DataDefault Local Storage
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultLocal Storage
3
網路歷史
Win7/8/10 SOFTWARE HIVE:
• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged
• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesManaged
• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListNlaCache
4
無線區域網事件日誌
Microsoft-Windows-WLAN-AutoConfig Operational.evtx
5
瀏覽器搜索記錄
Internet Explorer
IE6-7:
%USERPROFILE%Local SettingsHistoryHistory.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat Firefox
XP:
%userprofile%Application DataMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite
Win7/8/10:
%userprofile%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite
6
系統資源利用率管理器(SRUM)(無線網路)
• SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions
• {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor
• {DD6636C4-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor
• SOFTWAREMicrosoftWlanSvcInterfaces C:WindowsSystem32SRU
