干货 | Windows取证分析基础知识大全,赶快收藏!

Windows HACK_Learn
2020-04-01 8,515

以下文章来源于效率源公众号,作者源妹

想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置



◆◆
文章精华大合集

◆◆




01

windows 时间规则



1


标准信息

创建文件:文件修改、文件访问、文件metadata时间改变

访问文件:文件访问时间改变(NTFS win7+不变)

文件修改:文件修改,文件metadata时间改变

文件重命名:文件metadata时间改变

拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变

文件移动:

1)同卷移动文件:文件metadata时间改变

2)跨卷移动文件

• 通过系统命令:修改时间来自原始文件,文件访问,文件metadata,文件创建时间改变

• 通过复制粘贴:文件修改,文件metadata,文件创建都来自原始文件,访问时间为复制粘贴时间


02

文件下载



1


打开/保存传输单元

XP:NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU


Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU

2


电子邮件附件:outlook

XP:

%USERPROFILE%LocalSettingsApplicationDataMicrosoftOutlook


Win7/8/10:

%USERPROFILE%AppDataLocalMicrosoftOutlook


OLK:

HKEY_CURRENT_USERSoftwareMicrosoftOffice对应版本OutlookSecurity

3


微信桌面版
C:Users<username>DocumentsWeChat Files微信号Files
4


QQ电脑版
C:Users<username>DocumentsTencent FilesQQ号FileRecv
5


skype历史

XP:

C:Documents and Settings<username>ApplicationSkype<skype-name>


Win7/8/10:

C:%USERPROFILE%AppDataRoamingSkype<skype-name>

6


浏览器

1)internet explorer

IE8-9:

%USERPROFILE%AppDataRoamingMicrosoftWindowsIEDownloadHistoryindex.dat


IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat


2)firefox

v3-25:

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite


v26+:

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultplaces.sqlite Table:moz_annos


3)chrome

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultHistory

7


下载(firefox,internet Explorer)管理器

1)firefox

XP:

%userprofile%Application DataMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite


Win7/8/10:

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite


2)Internet Explorer

IE8-9:

%USERPROFILE%AppDataRoamingMicrosoftWindows IEDownloadHistory


IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCache WebCacheV*.dat

8


ADS Zone.Identifier(备用数据流)

从XP SP2开始,当文件通过浏览器从“Internet区域”下载到NTFS卷时,会向文件中添加备用数据流。



03

程序执行



1


UserAssist

• NTUSER.DAT HIVE

• NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist {GUID}Count

2


Windows10 时间轴

C:Users<profile>AppDataLocalConnectedDevicesPlatformL.<profile>ActivitiesCache.db

3


最近应用

NTUSER.DATSoftwareMicrosoftWindowsCurrent VersionSearchRecentApps

4


shimcache

XP:

SYSTEMCurrentControlSetControlSessionManagerAppCompatibility


Win7/8/10:

SYSTEMCurrentControlSetControlSession ManagerAppCompatCache

5


快速访问

Win7/8/10:

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent AutomaticDestinations

6


Amcache.hve(ProgramDataUpdater)

Win7/8/10:

C:WindowsAppCompatProgramsAmcache.hve

7


系统资源利用率管理器(SRUM)(数据库)

SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:Windows System32SRU

8


BAM/DAM

• SYSTEMCurrentControlSetServicesbamUserSettings{SID} 

• SYSTEMCurrentControlSetServicesdamUserSettings{SID}

9


最新访问的MRU

XP:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedMRU


Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU

10


prefetch

WinXP/7/8/10:

C:WindowsPrefetch


04

文件删除/文件信息



1


xp 查询-ACMRU

• NTUSER.DAT HIVE NTUSER.DATSoftwareMicrosoftSearch AssistantACMru####

2


缩略图(Thumbcache)

C:%USERPROFILE%AppDataLocalMicrosoftWindowsExplorer

3


Thumbs.db

WinXP/Win8|8.1:

在启用了家庭组的任何地方自动创建。


Win7/8/10:

在任何地方自动创建并通过UNC路径(本地或远程)访问。

4


IE|Edge file://

Internet Explorer

IE6-7:

%USERPROFILE%LocalSettingsHistoryHistory.IE5


IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5


IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

5


轮词查询

Win7/8/10 NTUSER.DAT Hive:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerWordWheelQuery

6


win7/8/10回收站

隐藏的系统文件夹

• C:$Recycle.bin

7


XP回收站

隐藏的系统文件夹

• C:RECYCLER" 2000/NT/XP/2003 



05

浏览器资源



1


历史信息

1)Internet Explorer

IE6-7:

%USERPROFILE%Local SettingsHistoryHistory.IE5


IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsHistory History.IE5


IE10, 11, Edge:

%USERPROFILE%AppDataLocalMicrosoftWindows WebCacheWebCacheV*.dat


2)Firefox

XP:

%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite


Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite


3)Chrome

XP:

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultHistory


Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultHistory


4)QQ浏览器

%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultHistory


2


书签信息

1)Internet Explorer

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders下Favorites键值

Edge: 

%USERPROFILE%AppDataLocalPackagesmicrosoft.

microsoftedge_<APPID>ACMicrosoftEdgeCookies


2)Firefox 

XP:   

%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite 


Win7/8/10:

 %USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite 


3)Chrome

XP: 

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultBookmarks


Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultBookmarks


4)QQ浏览器

• %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultQQ号Bookmarks_01

• %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultBookmarks_01


3


cookies

1)Internet Explorer

IE8-9:

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies


IE10:

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies


IE11: 

%USERPROFILE%AppDataLocalMicrosoftWindowsINetCookies


Edge:

%USERPROFILE%AppDataLocalPackagesmicrosoft.

microsoftedge_<APPID>ACMicrosoftEdgeCookies


2)Firefox

XP:

%USERPROFILE%Application DataMozillaFirefoxProfiles<random

text>.defaultcookies.sqlite


Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefox

Profiles<randomtext>.defaultcookies.sqlite


3)Chrome

XP:

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser

DataDefaultLocal Storage


Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data

DefaultLocal Storage


4)QQ浏览器

%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultCookies

3


缓存

1)Internet Explorer

IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5


IE10:

%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5


IE11:

%USERPROFILE%AppDataLocalMicrosoftWindowsINetCacheIE


Edge:

%USERPROFILE%AppDataLocalPackagesmicrosoft.microsoftedge_<APPID>ACMicrosoftEdgeCache 


2)Firefox

XP:

%USERPROFILE%Local SettingsApplicationDataMozillaFirefox Profiles<randomtext>.defaultCache


Win7/8/10:

%USERPROFILE%AppDataLocalMozillaFirefox Profiles<randomtext>.defaultCache


3)Chrome

XP:

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultCache - data_# and f_######


Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultCache - data_# and f_######

4


flash和超级cookies

Win7/8/10:

%APPDATA%RoamingMacromediaFlashPlayer#SharedObjects<randompr ofileid>

5


会话还原

1)Internet Explorer

Win7/8/10:

%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery


2)Firefox

Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultsessionstore.js


3)Chrome

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data Default

文件=当前会话,当前打开的标签,最后一次会话,最后的标签



06

外部设备/USB使用



1


关键字认证

• SYSTEMCurrentControlSetEnumUSBSTOR

• SYSTEMCurrentControlSetEnumUSB

2


插入/拔出时间

1)即插即用日志文件(第一次)

XP:

C:Windowssetupapi.log


Win7/8/10:

C:Windowsinfsetupapi.dev.log


2)(第一次,最后一次,拔出)(在Win7/8/10) 

System Hive:  

CurrentControlSetEnumUSBSTORVen_Prod_VersionUSBSerial#Properties {83da6326-97a6-4088-9453-a19231573b29}####

0064 = 第一次安装(Win7-10)

0066 = 最后一次连接 (Win8-10)

0067 = 最后一次拔出 (Win8-10)

3


用户

• 查找GUID从SYSTEMMountedDevices

• NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorer MountPoints2

4


pnP 事件

Win7/8/10:

%system root%System32winevtlogsSystem.evtx

5


卷序列号

SOFTWAREMicrosoftWindowsNTCurrentVersion ENDMgmt

6


驱动器号和卷名

XP:

找到ParentIdPrefix – SYSTEMCurrentControlSetEnum USBSTOR


Win7/8/10:

• SOFTWAREMicrosoftWindows Portable DevicesDevices

• SYSTEMMountedDevices

7


文件快捷方式(LNK)

XP:

%USERPROFILE%Recent 


Win7/8/10:

• %USERPROFILE%AppDataRoamingMicrosoftWindows Recent 

• %USERPROFILE%AppDataRoamingMicrosoftOfficeRecent


07

账户使用情况




1


上次登录

• C:windowssystem32configSAM  

• SAMDomainsAccountUsers

2


上次密码修改

• C:windowssystem32configSAM

• SAMDomainsAccountUsers

3


远程桌面使用情况

Win7/8/10: 

%SYSTEM ROOT%System32winevtlogsSecurity.evtx

4


服务事件

所有事件ID对应的系统日志

7034  - 服务意外崩溃

7035  - 服务发送了启动/停止控制

7036  - 服务已启动或已停止

7040  - 启动类型已更改(Boot | On Request | Disabled)

7045  - 系统上安装了一项服务(Win2008R2 +)

4697  - 系统上安装了一项服务(来自安全日志)

5


登录类型

Win7/8/10:

Event ID 4624

6


授权事件

Win7/8/10:

%SYSTEM ROOT%System32winevtlogsSecurity.evtx

7


成功或失败登录

Win7/8/10:

%system root%System32winevtlogsSecurity.evtx



08

文件/文件夹打开



1


打开/保存 MRU

XP:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 OpenSaveMRU


Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU

2


最近文件

NTUSER.DAT:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

3


快速访问

Win7/8/10: 

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations

4


shell bages

访问Explorer:

• USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags

• USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBagMRU


访问桌面:

• NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU

• NTUSER.DATSoftwareMicrosoftWindowsShellBags

5


文件快捷方式(LNK)

XP:

C:%USERPROFILE%Recent 


Win7/8/10:

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent

C:%USERPROFILE%AppDataRoamingMicrosoftOfficeRecent

6


prefetch

WinXP/7/8/10:

C:WindowsPrefetch

7


最后访问的MRU

XP:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDl32 LastVisitedMRU


Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU

8


IE/Edge file://

Internet Explorer

IE6-7:  

%USERPROFILE%Local SettingsHistory History.IE5


IE8-9: 

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5


IE10-11  

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

9


office最近使用文件

NTUSER.DATSoftwareMicrosoftOfficeVERSION

• 14.0 = Office 2010 

• 11.0 = Office 2003

• 12.0 = Office 2007 

• 10.0 = Office XP 


NTUSER.DATSoftwareMicrosoftOfficeVERSIONUserMRULiveID_####FileMRU

• 15.0 = Office 365



09

网络活动/物理位置




1


时区

SYSTEM Hive:

SYSTEMCurrentControlSetControlTimeZoneInformation

2


cookies

1)Internet Explorer

IE6-8: 

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies


IE10: 

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies


IE11: 

%USERPROFILE%AppDataLocalMicrosoftWindowsInetCookies


2)Firefox

XP:

%USERPROFILE%Application DataMozillaFirefoxProfiles<randomtext>.default cookies.sqlite


Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultcookies.sqlite


3)Chrome

XP:

%USERPROFILE%Local SettingsApplicationDataGoogleChromeUser DataDefault Local Storage


Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultLocal Storage

3


网络历史

Win7/8/10 SOFTWARE HIVE:

• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged

• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesManaged

• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListNlaCache

4


无线局域网事件日志

Microsoft-Windows-WLAN-AutoConfig Operational.evtx

5


浏览器搜索记录

Internet Explorer

IE6-7:

%USERPROFILE%Local SettingsHistoryHistory.IE5


IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5


IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat Firefox


XP:

%userprofile%Application DataMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite


Win7/8/10:

%userprofile%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite

6


系统资源利用率管理器(SRUM)(无线网络)

• SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions

• {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor

• {DD6636**-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor 

• SOFTWAREMicrosoftWlanSvcInterfaces C:WindowsSystem32SRU

以上文章来源于效率源公众号 ,作者源妹

本文作者:HACK_Learn

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/127088.html

Tags:
点赞: 12 评论:0 收藏: 2
 积分 20
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

HACK_Learn
文章数:142 积分: 323

微信公众号:HACK学习呀

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼