专栏名称: HACK学习呀
HACK学习,专注于互联网安全与黑客精神;渗透测试,社会工程学,Python黑客编程,资源分享,Web渗透培训,电脑技巧,渗透技巧等,为广大网络安全爱好者一个交流分享学习的平台!
目录
相关文章推荐
51好读  ›  专栏  ›  HACK学习呀

干货 | Windows取证分析基础知识大全,赶快收藏!

HACK学习呀  · 公众号  · 黑客  · 2020-03-26 05:17

正文


想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。 本文将详细分享 Microsoft Windows操作系统的基础数字取证知识,了解数据 的存放位置和对应部件,便于快速确定关键证据 ,内容包括 windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置


◆◆
文章精华大合集

◆◆




0 1

windows 时间规则



1


标准信息

创建文件: 文件修改、文件访问、文件metadata时间改变

访问文件: 文件访问时间改变(NTFS win7+不变)

文件修改: 文件修改,文件metadata时间改变

文件重命名: 文件metadata时间改变

拷贝文件: 文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变

文件移动:

1)同卷移动文件: 文件metadata时间改变

2)跨卷移动文件

• 通过系统命令: 修改时间来自原始文件,文件访问,文件metadata,文件创建时间改变

• 通过复制粘贴: 文件修改,文件metadata,文件创建都来自原始文件,访问时间为复制粘贴时间


02

文件下载



1


打开/保存传输单元

XP: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU


Win7/8/10:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

2


电子邮件附件:outlook

XP:

%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook


Win7/8/10:

%USERPROFILE%\AppData\Local\Microsoft\Outlook


OLK:

HKEY_CURRENT_USER\Software\Microsoft\Office\对应版本\Outlook\Security

3


微信桌面版
C:\Users\ \Documents\WeChat Files\微信号\Files
4


QQ电脑版
C:\Users\ \Documents\Tencent Files\QQ号\FileRecv
5


skype历史

XP:

C:\Documents and Settings\ \Application\Skype\


Win7/8/10:

C:\%USERPROFILE%\AppData\Roaming\Skype\

6


浏览器

1)internet explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat


IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat


2)firefox

v3-25:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\ .default\downloads.sqlite


v26+:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\ .default\places.sqlite Table:moz_annos


3)chrome

Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History

7


下载(firefox,internet Explorer)管理器

1)firefox

XP:

%userprofile%\Application Data\Mozilla\ Firefox\Profiles\ .default\downloads.sqlite


Win7/8/10:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\ .default\downloads.sqlite


2)Internet Explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\ IEDownloadHistory\


IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\ WebCacheV*.dat

8


ADS Zone.Identifier(备用数据流)

从XP SP2开始,当文件通过浏览器从“Internet区域”下载到NTFS卷时,会向文件中添加备用数据流。



03

程序执行



1


UserAssist

NTUSER.DAT HIVE

NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\ {GUID}\Count

2


Windows10 时间轴

C:\Users\ \AppData\Local\ConnectedDevicesPlatform\L. \ActivitiesCache.db

3


最近应用

NTUSER.DAT\Software\Microsoft\Windows\Current Version\Search\RecentApps

4


shimcache

XP:

SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility


Win7/8/10:

SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

5


快速访问

Win7/8/10:

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\ AutomaticDestinations

6


Amcache.hve(ProgramDataUpdater)

Win7/8/10:

C:\Windows\AppCompat\Programs\Amcache.hve

7


系统资源利用率管理器(SRUM)(数据库)

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:\Windows\ System32\SRU\

8


BAM/DAM

SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}

SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}

9


最新访问的MRU

XP:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedMRU


Win7/8/10:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU

10


prefetch

WinXP/7/8/10:

C:\Windows\Prefetch


04

文件删除/文件信息



1


xp 查询-ACMRU

NTUSER.DAT HIVE NTUSER.DAT\Software\Microsoft\Search Assistant\ACMru\####

2


缩略图(Thumbcache)

C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer

3


Thumbs.db

WinXP/Win8|8.1:

在启用了家庭组的任何地方自动创建。


Win7/8/10:

在任何地方自动创建并通过UNC路径(本地或远程)访问。

4


IE|Edge file://

Internet Explorer

IE6-7:

%USERPROFILE%\LocalSettings\History\History.IE5


IE8-9:

%USERPROFILE%\AppData\Local\Microsoft\WindowsHistory\History.IE5


IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

5


轮词查询

Win7/8/10 NTUSER.DAT Hive:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

6


win7/8/10回收站

隐藏的系统文件夹

C:\$Recycle.bin

7


XP回收站

隐藏的系统文件夹

C:\RECYCLER" 2000/NT/XP/2003



05

浏览器资源



1


历史信息

1)Internet Explorer

IE6-7:

%USERPROFILE%\Local Settings\History\History.IE5


IE8-9:

%USERPROFILE%\AppData\Local\Microsoft\Windows\History\ History.IE5


IE10, 11, Edge:

%USERPROFILE%\AppData\Local\Microsoft\Windows\ WebCache\WebCacheV*.dat


2)Firefox

XP:

%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\ .default\places.sqlite


Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\ .default\places.sqlite


3)Chrome

XP:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\History


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\History


4) QQ浏览器

%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\History


2


书签信息

1)Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下Favorites键值

Edge:

%USERPROFILE%\AppData\Local\Packages\microsoft.

microsoftedge_ \AC\MicrosoftEdge\Cookies


2)Firefox

XP:

%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\ .default\places.sqlite


Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\ .default\places.sqlite


3)Chrome

XP:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Bookmarks


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Bookmarks


4)QQ浏览器

• %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\QQ号\Bookmarks_01

• %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Bookmarks_01


3


cookies

1 )Internet Explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies


IE10:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies


IE11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies


Edge:

%USERPROFILE%\AppData\Local\Packages\microsoft.

microsoftedge_ \AC\MicrosoftEdge\Cookies


2 )Firefox

XP:

%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\

text>.default\cookies.sqlite


Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\

Profiles\ .default\cookies.sqlite


3 )Chrome

XP:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User

Data\Default\Local Storage\


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\

Default\Local Storage\


4)QQ浏览器

%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Cookies

3


缓存

1)Internet Explorer

IE8-9:

%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5


IE10:

%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5


IE11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache\IE


Edge:

%USERPROFILE%\AppData\Local\Packages\microsoft.microsoftedge_ \AC\MicrosoftEdge\Cache


2)Firefox

XP:

%USERPROFILE%\Local Settings\ApplicationData\Mozilla\Firefox\ Profiles\ .default\Cache


Win7/8/10:

%USERPROFILE%\AppData\Local\Mozilla\Firefox\ Profiles\ .default\Cache


3)Chrome

XP:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache - data_# and f_######


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Cache\ - data_# and f_######

4


flash和超级cookies

Win7/8/10:

%APPDATA%\Roaming\Macromedia\FlashPlayer\#SharedObjects\

5


会话还原

1)Internet Explorer

Win7/8/10:

%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery


2)Firefox

Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\ .default\sessionstore.js


3)Chrome

Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\

文件=当前会话,当前打开的标签,最后一次会话,最后的标签



06

外部设备/USB使用



1


关键字认证

SYSTEM\CurrentControlSet\Enum\USBSTOR

SYSTEM\CurrentControlSet\Enum\USB

2


插入/拔出时间

1)即插即用日志文件(第一次)

XP:

C:\Windows\setupapi.log


Win7/8/10:

C:\Windows\inf\setupapi.dev.log


2)(第一次,最后一次,拔出)(在Win7/8/10)

System Hive:

\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\ {83da6326-97a6-4088-9453-a19231573b29}\####

0064 = 第一次安装(Win7-10)

0066 = 最后一次连接 (Win8-10)

0067 = 最后一次拔出 (Win8-10)

3


用户

查找GUID从SYSTEM\MountedDevices

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2

4


pnP 事件

Win7/8/10:

%system root%\System32\winevt\logs\System.evtx

5


卷序列号

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ ENDMgmt

6


驱动器号和卷名

XP:

找到ParentIdPrefix – SYSTEM\CurrentControlSet\Enum\ USBSTOR


Win7/8/10:

SOFTWARE\Microsoft\Windows Portable Devices\Devices

SYSTEM\MountedDevices

7


文件快捷方式(LNK)

XP:

%USERPROFILE%\Recent


Win7/8/10:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\ Recent

%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent


07

账户使用情况




1


上次登录

C:\windows\system32\config\SAM

SAM\Domains\Account\Users

2


上次密码修改

C:\windows\system32\config\SAM

SAM\Domains\Account\Users

3


远程桌面使用情况

Win7/8/10:

%SYSTEM ROOT%\System32\winevt\logs\Security.evtx

4


服务事件

所有事件ID对应的系统日志

7034  - 服务意外崩溃

7035  - 服务发送了启动/停止控制

7036  - 服务已启动或已停止

7040  - 启动类型已更改(Boot | On Request | Disabled)

7045  - 系统上安装了一项服务(Win2008R2 +)

4697  - 系统上安装了一项服务(来自安全日志)

5


登录类型

Win7/8/10:

Event ID 4624

6


授权事件

Win7/8/10:

%SYSTEM ROOT%\System32\winevt\logs\Security.evtx

7






请到「今天看啥」查看全文


推荐文章
不止读书  ·  5年了,为什么我喜欢深圳?
8 年前
腾讯新国风  ·  当官最重要的是要以身作则 教化百姓丨明德讲堂·近思录
7 年前
开天prpr  ·  火影忍者:漫画中期以后,写轮眼的复制功能为什么没人用了
7 年前
TechWeb  ·  苹果禁止热更新!不移除代码就下架 这回谁会妥协谁?
7 年前
中央广电总台中国之声  ·  新时代,他们仍然是最可爱的人
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!