Windows取证分析基础知识大全

浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、 络活动/物理位置。

文章精华大合集

01.windows 时间规则

1.标准信息

创建文件：文件修改、文件访问、文件metadata时间改变

访问文件：文件访问时间改变（NTFS win7+不变）

文件修改：文件修改，文件metadata时间改变

文件重命名：文件metadata时间改变

拷贝文件：文件修改时间继承自原始，文件访问，文件metadata，文件创建时间改变

文件移动：

1）同卷移动文件：文件metadata时间改变

2）跨卷移动文件

? 通过系统命令：修改时间来自原始文件，文件访问，文件metadata，文件创建时间改变

? 通过复制粘贴：文件修改，文件metadata，文件创建都来自原始文件，访问时间为复制粘贴时间

02.文件下载

1.打开/保存传输单元

XP：NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU

Win7/8/10：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU

2.电子邮件附件：outlook

XP：

%USERPROFILE%LocalSettingsApplicationDataMicrosoftOutlook

Win7/8/10：

%USERPROFILE%AppDataLocalMicrosoftOutlook

OLK：

HKEY_CURRENT_USERSoftwareMicrosoftOffice对应版本OutlookSecurity

3.微信桌面版

C:Users<username>DocumentsWeChat Files微信号Files

4.QQ电脑版

C:Users<username>DocumentsTencent FilesQQ号FileRecv

5.skype历史

XP：

C😀ocuments and Settings<username>ApplicationSkype<skype-name>

Win7/8/10：

C:%USERPROFILE%AppDataRoamingSkype<skype-name>

6.浏览器

1）internet explorer

IE8-9：

%USERPROFILE%AppDataRoamingMicrosoftWindowsIEDownloadHistoryindex.dat

IE10-11：

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

2）firefox

v3-25：

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite

v26+：

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultplaces.sqlite Table:moz_annos

3）chrome

Win7/8/10：

%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultHistory

7.下载（firefox，internet Explorer）管理器

1）firefox

XP：

%userprofile%Application DataMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite

Win7/8/10：

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite

2）Internet Explorer

IE8-9：

%USERPROFILE%AppDataRoamingMicrosoftWindows IEDownloadHistory

IE10-11：

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCache WebCacheV*.dat

8.ADS Zone.Identifier(备用数据流)

从XP SP2开始，当文件通过浏览器从“Internet区域”下载到NTFS卷时，会向文件中添加备用数据流。

03.程序执行

1.UserAssist

? NTUSER.DAT HIVE

? NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist {GUID}Count

2.Windows10 时间轴

C:Users<profile>AppDataLocalConnectedDevicesPlatformL.<profile>ActivitiesCache.db

3.最近应用

NTUSER.DATSoftwareMicrosoftWindowsCurrent VersionSearchRecentApps

4.shimcache

XP：

SYSTEMCurrentControlSetControlSessionManagerAppCompatibility

Win7/8/10：

SYSTEMCurrentControlSetControlSession ManagerAppCompatCache

5.快速访问

Win7/8/10：

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent AutomaticDestinations

6.Amcache.hve(ProgramDataUpdater)

Win7/8/10：

C:WindowsAppCompatProgramsAmcache.hve

7.系统资源利用率管理器（SRUM）（数据库）

SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:Windows System32SRU

8.BAM/DAM

? SYSTEMCurrentControlSetServicesbamUserSettings{SID}

? SYSTEMCurrentControlSetServicesdamUserSettings{SID}

9.最新访问的MRU

XP：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedMRU

Win7/8/10：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU

10.prefetch

WinXP/7/8/10：

C:WindowsPrefetch

04.文件删除/文件信息

1.xp 查询-ACMRU

? NTUSER.DAT HIVE NTUSER.DATSoftwareMicrosoftSearch AssistantACMru####

2.缩略图（Thumbcache）

C:%USERPROFILE%AppDataLocalMicrosoftWindowsExplorer

3.Thumbs.db

WinXP/Win8|8.1：

在启用了家庭组的任何地方自动创建。

Win7/8/10：

在任何地方自动创建并通过UNC路径（本地或远程）访问。

4.IE|Edge file://

Internet Explorer

IE6-7：

%USERPROFILE%LocalSettingsHistoryHistory.IE5

IE8-9：

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5

IE10-11：

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

5.轮词查询

Win7/8/10 NTUSER.DAT Hive：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerWordWheelQuery

6.win7/8/10回收站

隐藏的系统文件夹

? C:$Recycle.bin

7.XP回收站

隐藏的系统文件夹

? C:RECYCLER” 2000/NT/XP/2003

05.浏览器资源

1.历史信息

1）Internet Explorer

IE6-7：

%USERPROFILE%Local SettingsHistoryHistory.IE5

IE8-9：

%USERPROFILE%AppDataLocalMicrosoftWindowsHistory History.IE5

IE10, 11, Edge：

%USERPROFILE%AppDataLocalMicrosoftWindows WebCacheWebCacheV*.dat

2）Firefox

XP：

%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

Win7/8/10：

%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite

3）Chrome

XP：

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultHistory

Win7/8/10：

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultHistory

4）QQ浏览器

%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultHistory

2.书签信息

1）Internet Explorer

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders下Favorites键值

Edge:

%USERPROFILE%AppDataLocalPackagesmicrosoft.

microsoftedge_<APPID>ACMicrosoftEdgeCookies

2）Firefox

XP：

%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

Win7/8/10：

%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite

3）Chrome

XP：

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultBookmarks

Win7/8/10：

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultBookmarks

4）QQ浏览器

? %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultQQ号Bookmarks_01

? %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultBookmarks_01

3.cookies

1）Internet Explorer

IE8-9：

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE10：

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE11：

%USERPROFILE%AppDataLocalMicrosoftWindowsINetCookies

Edge：

%USERPROFILE%AppDataLocalPackagesmicrosoft.

microsoftedge_<APPID>ACMicrosoftEdgeCookies

2）Firefox

XP：

%USERPROFILE%Application DataMozillaFirefoxProfiles<random

text>.defaultcookies.sqlite

Win7/8/10：

%USERPROFILE%AppDataRoamingMozillaFirefox

Profiles<randomtext>.defaultcookies.sqlite

3）Chrome

XP：

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser

DataDefaultLocal Storage

Win7/8/10：

%USERPROFILE%AppDataLocalGoogleChromeUser Data

DefaultLocal Storage

4）QQ浏览器

%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultCookies

4.缓存

1）Internet Explorer

IE8-9：

%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5

IE10：

%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5

IE11：

%USERPROFILE%AppDataLocalMicrosoftWindowsINetCacheIE

Edge：

%USERPROFILE%AppDataLocalPackagesmicrosoft.microsoftedge_<APPID>ACMicrosoftEdgeCache

2）Firefox

XP：

%USERPROFILE%Local SettingsApplicationDataMozillaFirefox Profiles<randomtext>.defaultCache

Win7/8/10：

%USERPROFILE%AppDataLocalMozillaFirefox Profiles<randomtext>.defaultCache

3）Chrome

XP：

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultCache – data_# and f_######

Win7/8/10：

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultCache – data_# and f_######

5.flash和超级cookies

Win7/8/10：

%APPDATA%RoamingMacromediaFlashPlayer#SharedObjects<randompr ofileid>

6.会话还原

1）Internet Explorer

Win7/8/10：

%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery

2）Firefox

Win7/8/10：

%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultsessionstore.js

3）Chrome

Win7/8/10：

%USERPROFILE%AppDataLocalGoogleChromeUser Data Default

文件=当前会话，当前打开的标签，最后一次会话，最后的标签

06.外部设备/USB使用

1.关键字认证

? SYSTEMCurrentControlSetEnumUSBSTOR

? SYSTEMCurrentControlSetEnumUSB

2.插入/拔出时间

1）即插即用日志文件(第一次)

XP：

C:Windowssetupapi.log

Win7/8/10：

C:Windowsinfsetupapi.dev.log

2）（第一次，最后一次，拔出）(在Win7/8/10)

System Hive：

CurrentControlSetEnumUSBSTORVen_Prod_VersionUSBSerial#Properties {83da6326-97a6-4088-9453-a19231573b29}####

0064 = 第一次安装(Win7-10)

0066 = 最后一次连接 (Win8-10)

0067 = 最后一次拔出 (Win8-10)

3.用户

? 查找GUID从SYSTEMMountedDevices

? NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorer MountPoints2

4.pnP 事件

Win7/8/10：

%system root%System32winevtlogsSystem.evtx

5.卷序列号

SOFTWAREMicrosoftWindowsNTCurrentVersion ENDMgmt

6.驱动器号和卷名

XP：

找到ParentIdPrefix – SYSTEMCurrentControlSetEnum USBSTOR

Win7/8/10：

? SOFTWAREMicrosoftWindows Portable DevicesDevices

? SYSTEMMountedDevices

7.文件快捷方式（LNK）

XP：

%USERPROFILE%Recent

Win7/8/10：

? %USERPROFILE%AppDataRoamingMicrosoftWindows Recent

? %USERPROFILE%AppDataRoamingMicrosoftOfficeRecent

07.账户使用情况

1.上次登录

? C:windowssystem32configSAM

? SAMDomainsAccountUsers

2.上次密码修改

? C:windowssystem32configSAM

? SAMDomainsAccountUsers

3.远程桌面使用情况

Win7/8/10：

%SYSTEM ROOT%System32winevtlogsSecurity.evtx

4.服务事件

所有事件ID对应的系统日志

7034 – 服务意外崩溃

7035 – 服务发送了启动/停止控制

7036 – 服务已启动或已停止

7040 – 启动类型已更改（Boot | On Request | Disabled）

7045 – 系统上安装了一项服务（Win2008R2 +）

4697 – 系统上安装了一项服务（来自安全日志）

5.登录类型

Win7/8/10：

Event ID 4624

6.授权事件

Win7/8/10：

%SYSTEM ROOT%System32winevtlogsSecurity.evtx

7.成功或失败登录

Win7/8/10：

%system root%System32winevtlogsSecurity.evtx

08.文件/文件夹打开

1.打开/保存 MRU

XP：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 OpenSaveMRU

Win7/8/10：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU

2.最近文件

NTUSER.DAT：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

3.快速访问

Win7/8/10：

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations

4.shell bages

访问Explorer：

? USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags

? USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBagMRU

访问桌面：

? NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU

? NTUSER.DATSoftwareMicrosoftWindowsShellBags

5.文件快捷方式（LNK）

XP：

C:%USERPROFILE%Recent

Win7/8/10：

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent

C:%USERPROFILE%AppDataRoamingMicrosoftOfficeRecent

6.prefetch

WinXP/7/8/10：

C:WindowsPrefetch

7.最后访问的MRU

XP：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDl32 LastVisitedMRU

Win7/8/10：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU

8.IE/Edge file://

Internet Explorer

IE6-7：

%USERPROFILE%Local SettingsHistory History.IE5

IE8-9：

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5

IE10-11

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

9.office最近使用文件

NTUSER.DATSoftwareMicrosoftOfficeVERSION

? 14.0 = Office 2010

? 11.0 = Office 2003

? 12.0 = Office 2007

? 10.0 = Office XP

NTUSER.DATSoftwareMicrosoftOfficeVERSIONUserMRULiveID_####FileMRU

? 15.0 = Office 365

09. 络活动/物理位置

1.时区

SYSTEM Hive：

SYSTEMCurrentControlSetControlTimeZoneInformation

2.cookies

1）Internet Explorer

IE6-8：

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE10：

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE11：

%USERPROFILE%AppDataLocalMicrosoftWindowsInetCookies

2）Firefox

XP：

%USERPROFILE%Application DataMozillaFirefoxProfiles<randomtext>.default cookies.sqlite

Win7/8/10：

%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultcookies.sqlite

3）Chrome

XP：

%USERPROFILE%Local SettingsApplicationDataGoogleChromeUser DataDefault Local Storage

Win7/8/10：

%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultLocal Storage

3. 络历史

Win7/8/10 SOFTWARE HIVE：

? SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged

? SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesManaged

? SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListNlaCache

4.无线局域 事件日志

Microsoft-Windows-WLAN-AutoConfig Operational.evtx

5.浏览器搜索记录

Internet Explorer

IE6-7：

%USERPROFILE%Local SettingsHistoryHistory.IE5

IE8-9：

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5

IE10-11：

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat Firefox

XP：

%userprofile%Application DataMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite

Win7/8/10：

%userprofile%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite

6.系统资源利用率管理器（SRUM）（无线 络）

? SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions

? {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor

? {DD6636C4-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor

? SOFTWAREMicrosoftWlanSvcInterfaces C:WindowsSystem32SRU