标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2020-2619]   作者: hudie 发表于: [2020-03-27]

本文共 [52] 位读者顶过

        想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置


[出自:jiwo.org]



01

windows 时间规则


1 标准信息

创建文件:文件修改、文件访问、文件metadata时间改变

访问文件:文件访问时间改变(NTFS win7+不变)

文件修改:文件修改,文件metadata时间改变

文件重命名:文件metadata时间改变

拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变

文件移动:

1)同卷移动文件:文件metadata时间改变

2)跨卷移动文件

• 通过系统命令:修改时间来自原始文件,文件访问,文件metadata,文件创建时间改变

• 通过复制粘贴:文件修改,文件metadata,文件创建都来自原始文件,访问时间为复制粘贴时间


02

文件下载


                                                                                                                                                      


1 打开/保存传输单元

XP:NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU


Win7/8/10:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU


2 电子邮件附件:outlook

XP:

%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook


Win7/8/10:

%USERPROFILE%\AppData\Local\Microsoft\Outlook


OLK:

HKEY_CURRENT_USER\Software\Microsoft\Office\对应版本\Outlook\Security


3 微信桌面版C:\Users\<username>\Documents\WeChat Files\微信号\Files4


QQ电脑版C:\Users\<username>\Documents\Tencent Files\QQ号\FileRecv5

skype历史

XP:

C:\Documents and Settings\<username>\Application\Skype\<skype-name>


Win7/8/10:

C:\%USERPROFILE%\AppData\Roaming\Skype\<skype-name>


6 浏览器

1)internet explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\index.dat


IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat


2)firefox

v3-25:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite


v26+:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\places.sqlite Table:moz_annos


3)chrome

Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History


7 下载(firefox,internet Explorer)管理器

1)firefox

XP:

%userprofile%\Application Data\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite


Win7/8/10:

%userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\downloads.sqlite


2)Internet Explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\ IEDownloadHistory\


IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\ WebCacheV*.dat


8 ADS Zone.Identifier(备用数据流)

从XP SP2开始,当文件通过浏览器从“Internet区域”下载到NTFS卷时,会向文件中添加备用数据流。


03

程序执行


                                                                                                                                                          


1 UserAssist

• NTUSER.DAT HIVE

• NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\ {GUID}\Count


2 Windows10 时间轴

C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<profile>\ActivitiesCache.db


3 最近应用

NTUSER.DAT\Software\Microsoft\Windows\Current Version\Search\RecentApps


4 shimcache

XP:

SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatibility


Win7/8/10:

SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache


5 快速访问

Win7/8/10:

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\ AutomaticDestinations


6 Amcache.hve(ProgramDataUpdater)

Win7/8/10:

C:\Windows\AppCompat\Programs\Amcache.hve


7 系统资源利用率管理器(SRUM)(数据库)

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:\Windows\ System32\SRU\


8 BAM/DAM

• SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} 

• SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID}


9 最新访问的MRU

XP:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedMRU


Win7/8/10:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU


10 prefetch

WinXP/7/8/10:

C:\Windows\Prefetch


04

文件删除/文件信息

                                                                                                                                                         

1 xp 查询-ACMRU

• NTUSER.DAT HIVE NTUSER.DAT\Software\Microsoft\Search Assistant\ACMru\####

2 缩略图(Thumbcache)

C:\%USERPROFILE%\AppData\Local\Microsoft\Windows\Explorer

3 Thumbs.db

WinXP/Win8|8.1:

在启用了家庭组的任何地方自动创建。


Win7/8/10:

在任何地方自动创建并通过UNC路径(本地或远程)访问。

4 IE|Edge file://

Internet Explorer

IE6-7:

%USERPROFILE%\LocalSettings\History\History.IE5


IE8-9:

%USERPROFILE%\AppData\Local\Microsoft\WindowsHistory\History.IE5


IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

5 轮词查询

Win7/8/10 NTUSER.DAT Hive:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

6 win7/8/10回收站

隐藏的系统文件夹

• C:\$Recycle.bin

7 XP回收站

隐藏的系统文件夹

• C:\RECYCLER" 2000/NT/XP/2003

05

浏览器资源

                                                                                                                                                        

1 历史信息

1)Internet Explorer

IE6-7:

%USERPROFILE%\Local Settings\History\History.IE5


IE8-9:

%USERPROFILE%\AppData\Local\Microsoft\Windows\History\ History.IE5


IE10, 11, Edge:

%USERPROFILE%\AppData\Local\Microsoft\Windows\ WebCache\WebCacheV*.dat


2)Firefox

XP:

%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random text>.default\places.sqlite


Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\<random text>.default\places.sqlite


3)Chrome

XP:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\History


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\History


4)QQ浏览器

%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\History


2 书签信息

1)Internet Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下Favorites键值

Edge: 

%USERPROFILE%\AppData\Local\Packages\microsoft.

microsoftedge_<APPID>\AC\MicrosoftEdge\Cookies


2)Firefox 

XP:   

%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random text>.default\places.sqlite 


Win7/8/10:

 %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\ Profiles\<random text>.default\places.sqlite 


3)Chrome

XP: 

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Bookmarks


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Bookmarks


4)QQ浏览器

• %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\QQ号\Bookmarks_01

• %USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Bookmarks_01


3 cookies

1)Internet Explorer

IE8-9:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies


IE10:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies


IE11: 

%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies


Edge:

%USERPROFILE%\AppData\Local\Packages\microsoft.

microsoftedge_<APPID>\AC\MicrosoftEdge\Cookies


2)Firefox

XP:

%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<random

text>.default\cookies.sqlite


Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\

Profiles\<randomtext>.default\cookies.sqlite


3)Chrome

XP:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User

Data\Default\Local Storage\


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\

Default\Local Storage\


4)QQ浏览器

%USERPROFILE%\AppData\Local\Tencent\QQBrowser\User Data\Default\Cookies

3 缓存

1)Internet Explorer

IE8-9:

%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5


IE10:

%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5


IE11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache\IE


Edge:

%USERPROFILE%\AppData\Local\Packages\microsoft.microsoftedge_<APPID>\AC\MicrosoftEdge\Cache 


2)Firefox

XP:

%USERPROFILE%\Local Settings\ApplicationData\Mozilla\Firefox\ Profiles\<randomtext>.default\Cache


Win7/8/10:

%USERPROFILE%\AppData\Local\Mozilla\Firefox\ Profiles\<randomtext>.default\Cache


3)Chrome

XP:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache - data_# and f_######


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\Cache\ - data_# and f_######

4 flash和超级cookies

Win7/8/10:

%APPDATA%\Roaming\Macromedia\FlashPlayer\#SharedObjects\<randompr ofileid>

5 会话还原

1)Internet Explorer

Win7/8/10:

%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery


2)Firefox

Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\sessionstore.js


3)Chrome

Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\ Default\

文件=当前会话,当前打开的标签,最后一次会话,最后的标签











评论

暂无
发表评论
 返回顶部 
热度(52)
 关注微信