干货 | Windows取证分析基础知识大全,赶快收藏!
2020-04-01 12:36:05 Author: www.secpulse.com(查看原文) 阅读量:311 收藏

以下文章来源于效率源公众号,作者源妹

想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置

◆◆
文章精华大合集
◆◆

01

windows 时间规则

1
标准信息

创建文件:文件修改、文件访问、文件metadata时间改变

访问文件:文件访问时间改变(NTFS win7+不变)

文件修改:文件修改,文件metadata时间改变

文件重命名:文件metadata时间改变

拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变

文件移动:

1)同卷移动文件:文件metadata时间改变

2)跨卷移动文件

• 通过系统命令:修改时间来自原始文件,文件访问,文件metadata,文件创建时间改变

• 通过复制粘贴:文件修改,文件metadata,文件创建都来自原始文件,访问时间为复制粘贴时间

02

文件下载

1
打开/保存传输单元

XP:NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU

Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU

2
电子邮件附件:outlook

XP:

%USERPROFILE%LocalSettingsApplicationDataMicrosoftOutlook

Win7/8/10:

%USERPROFILE%AppDataLocalMicrosoftOutlook

OLK:

HKEY_CURRENT_USERSoftwareMicrosoftOffice对应版本OutlookSecurity

3
微信桌面版
C:Users<username>DocumentsWeChat Files微信号Files
4
QQ电脑版
C:Users<username>DocumentsTencent FilesQQ号FileRecv
5
skype历史

XP:

C:Documents and Settings<username>ApplicationSkype<skype-name>

Win7/8/10:

C:%USERPROFILE%AppDataRoamingSkype<skype-name>

6
浏览器

1)internet explorer

IE8-9:

%USERPROFILE%AppDataRoamingMicrosoftWindowsIEDownloadHistoryindex.dat

IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

2)firefox

v3-25:

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite

v26+:

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultplaces.sqlite Table:moz_annos

3)chrome

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultHistory

7
下载(firefox,internet Explorer)管理器

1)firefox

XP:

%userprofile%Application DataMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite

Win7/8/10:

%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite

2)Internet Explorer

IE8-9:

%USERPROFILE%AppDataRoamingMicrosoftWindows IEDownloadHistory

IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCache WebCacheV*.dat

8
ADS Zone.Identifier(备用数据流)

从XP SP2开始,当文件通过浏览器从“Internet区域”下载到NTFS卷时,会向文件中添加备用数据流。

03

程序执行

1
UserAssist

• NTUSER.DAT HIVE

• NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist {GUID}Count

2
Windows10 时间轴

C:Users<profile>AppDataLocalConnectedDevicesPlatformL.<profile>ActivitiesCache.db

3
最近应用

NTUSER.DATSoftwareMicrosoftWindowsCurrent VersionSearchRecentApps

4
shimcache

XP:

SYSTEMCurrentControlSetControlSessionManagerAppCompatibility

Win7/8/10:

SYSTEMCurrentControlSetControlSession ManagerAppCompatCache

5
快速访问

Win7/8/10:

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent AutomaticDestinations

6
Amcache.hve(ProgramDataUpdater)

Win7/8/10:

C:WindowsAppCompatProgramsAmcache.hve

7
系统资源利用率管理器(SRUM)(数据库)

SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:Windows System32SRU

8
BAM/DAM

• SYSTEMCurrentControlSetServicesbamUserSettings{SID} 

• SYSTEMCurrentControlSetServicesdamUserSettings{SID}

9
最新访问的MRU

XP:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedMRU

Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU

10
prefetch

WinXP/7/8/10:

C:WindowsPrefetch

04

文件删除/文件信息

1
xp 查询-ACMRU

• NTUSER.DAT HIVE NTUSER.DATSoftwareMicrosoftSearch AssistantACMru####

2
缩略图(Thumbcache)

C:%USERPROFILE%AppDataLocalMicrosoftWindowsExplorer

3
Thumbs.db

WinXP/Win8|8.1:

在启用了家庭组的任何地方自动创建。

Win7/8/10:

在任何地方自动创建并通过UNC路径(本地或远程)访问。

4
IE|Edge file://

Internet Explorer

IE6-7:

%USERPROFILE%LocalSettingsHistoryHistory.IE5

IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5

IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

5
轮词查询

Win7/8/10 NTUSER.DAT Hive:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerWordWheelQuery

6
win7/8/10回收站

隐藏的系统文件夹

• C:$Recycle.bin

7
XP回收站

隐藏的系统文件夹

• C:RECYCLER" 2000/NT/XP/2003 

05

浏览器资源

1
历史信息

1)Internet Explorer

IE6-7:

%USERPROFILE%Local SettingsHistoryHistory.IE5

IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsHistory History.IE5

IE10, 11, Edge:

%USERPROFILE%AppDataLocalMicrosoftWindows WebCacheWebCacheV*.dat

2)Firefox

XP:

%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite

3)Chrome

XP:

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultHistory

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultHistory

4)QQ浏览器

%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultHistory

2
书签信息

1)Internet Explorer

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders下Favorites键值

Edge: 

%USERPROFILE%AppDataLocalPackagesmicrosoft.

microsoftedge_<APPID>ACMicrosoftEdgeCookies

2)Firefox 

XP:   

%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite 

Win7/8/10:

 %USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite 

3)Chrome

XP: 

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultBookmarks

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultBookmarks

4)QQ浏览器

• %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultQQ号Bookmarks_01

• %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultBookmarks_01

3
cookies

1)Internet Explorer

IE8-9:

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE10:

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE11: 

%USERPROFILE%AppDataLocalMicrosoftWindowsINetCookies

Edge:

%USERPROFILE%AppDataLocalPackagesmicrosoft.

microsoftedge_<APPID>ACMicrosoftEdgeCookies

2)Firefox

XP:

%USERPROFILE%Application DataMozillaFirefoxProfiles<random

text>.defaultcookies.sqlite

Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefox

Profiles<randomtext>.defaultcookies.sqlite

3)Chrome

XP:

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser

DataDefaultLocal Storage

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data

DefaultLocal Storage

4)QQ浏览器

%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultCookies

3
缓存

1)Internet Explorer

IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5

IE10:

%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5

IE11:

%USERPROFILE%AppDataLocalMicrosoftWindowsINetCacheIE

Edge:

%USERPROFILE%AppDataLocalPackagesmicrosoft.microsoftedge_<APPID>ACMicrosoftEdgeCache 

2)Firefox

XP:

%USERPROFILE%Local SettingsApplicationDataMozillaFirefox Profiles<randomtext>.defaultCache

Win7/8/10:

%USERPROFILE%AppDataLocalMozillaFirefox Profiles<randomtext>.defaultCache

3)Chrome

XP:

%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultCache - data_# and f_######

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultCache - data_# and f_######

4
flash和超级cookies

Win7/8/10:

%APPDATA%RoamingMacromediaFlashPlayer#SharedObjects<randompr ofileid>

5
会话还原

1)Internet Explorer

Win7/8/10:

%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery

2)Firefox

Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultsessionstore.js

3)Chrome

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser Data Default

文件=当前会话,当前打开的标签,最后一次会话,最后的标签

06

外部设备/USB使用

1
关键字认证

• SYSTEMCurrentControlSetEnumUSBSTOR

• SYSTEMCurrentControlSetEnumUSB

2
插入/拔出时间

1)即插即用日志文件(第一次)

XP:

C:Windowssetupapi.log

Win7/8/10:

C:Windowsinfsetupapi.dev.log

2)(第一次,最后一次,拔出)(在Win7/8/10) 

System Hive:  

CurrentControlSetEnumUSBSTORVen_Prod_VersionUSBSerial#Properties {83da6326-97a6-4088-9453-a19231573b29}####

0064 = 第一次安装(Win7-10)

0066 = 最后一次连接 (Win8-10)

0067 = 最后一次拔出 (Win8-10)

3
用户

• 查找GUID从SYSTEMMountedDevices

• NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorer MountPoints2

4
pnP 事件

Win7/8/10:

%system root%System32winevtlogsSystem.evtx

5
卷序列号

SOFTWAREMicrosoftWindowsNTCurrentVersion ENDMgmt

6
驱动器号和卷名

XP:

找到ParentIdPrefix – SYSTEMCurrentControlSetEnum USBSTOR

Win7/8/10:

• SOFTWAREMicrosoftWindows Portable DevicesDevices

• SYSTEMMountedDevices

7
文件快捷方式(LNK)

XP:

%USERPROFILE%Recent 

Win7/8/10:

• %USERPROFILE%AppDataRoamingMicrosoftWindows Recent 

• %USERPROFILE%AppDataRoamingMicrosoftOfficeRecent

07

账户使用情况

1
上次登录

• C:windowssystem32configSAM  

• SAMDomainsAccountUsers

2
上次密码修改

• C:windowssystem32configSAM

• SAMDomainsAccountUsers

3
远程桌面使用情况

Win7/8/10: 

%SYSTEM ROOT%System32winevtlogsSecurity.evtx

4
服务事件

所有事件ID对应的系统日志

7034  - 服务意外崩溃

7035  - 服务发送了启动/停止控制

7036  - 服务已启动或已停止

7040  - 启动类型已更改(Boot | On Request | Disabled)

7045  - 系统上安装了一项服务(Win2008R2 +)

4697  - 系统上安装了一项服务(来自安全日志)

5
登录类型

Win7/8/10:

Event ID 4624

6
授权事件

Win7/8/10:

%SYSTEM ROOT%System32winevtlogsSecurity.evtx

7
成功或失败登录

Win7/8/10:

%system root%System32winevtlogsSecurity.evtx

08

文件/文件夹打开

1
打开/保存 MRU

XP:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 OpenSaveMRU

Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU

2
最近文件

NTUSER.DAT:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

3
快速访问

Win7/8/10: 

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations

4
shell bages

访问Explorer:

• USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags

• USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBagMRU

访问桌面:

• NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU

• NTUSER.DATSoftwareMicrosoftWindowsShellBags

5
文件快捷方式(LNK)

XP:

C:%USERPROFILE%Recent 

Win7/8/10:

C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent

C:%USERPROFILE%AppDataRoamingMicrosoftOfficeRecent

6
prefetch

WinXP/7/8/10:

C:WindowsPrefetch

7
最后访问的MRU

XP:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDl32 LastVisitedMRU

Win7/8/10:

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU

8
IE/Edge file://

Internet Explorer

IE6-7:  

%USERPROFILE%Local SettingsHistory History.IE5

IE8-9: 

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5

IE10-11  

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat

9
office最近使用文件

NTUSER.DATSoftwareMicrosoftOfficeVERSION

• 14.0 = Office 2010 

• 11.0 = Office 2003

• 12.0 = Office 2007 

• 10.0 = Office XP 

NTUSER.DATSoftwareMicrosoftOfficeVERSIONUserMRULiveID_####FileMRU

• 15.0 = Office 365

09

网络活动/物理位置

1
时区

SYSTEM Hive:

SYSTEMCurrentControlSetControlTimeZoneInformation

2
cookies

1)Internet Explorer

IE6-8: 

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE10: 

%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

IE11: 

%USERPROFILE%AppDataLocalMicrosoftWindowsInetCookies

2)Firefox

XP:

%USERPROFILE%Application DataMozillaFirefoxProfiles<randomtext>.default cookies.sqlite

Win7/8/10:

%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultcookies.sqlite

3)Chrome

XP:

%USERPROFILE%Local SettingsApplicationDataGoogleChromeUser DataDefault Local Storage

Win7/8/10:

%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultLocal Storage

3
网络历史

Win7/8/10 SOFTWARE HIVE:

• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged

• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesManaged

• SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListNlaCache

4
无线局域网事件日志

Microsoft-Windows-WLAN-AutoConfig Operational.evtx

5
浏览器搜索记录

Internet Explorer

IE6-7:

%USERPROFILE%Local SettingsHistoryHistory.IE5

IE8-9:

%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5

IE10-11:

%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat Firefox

XP:

%userprofile%Application DataMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite

Win7/8/10:

%userprofile%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite

6
系统资源利用率管理器(SRUM)(无线网络)

• SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions

• {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor

• {DD6636**-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor 

• SOFTWAREMicrosoftWlanSvcInterfaces C:WindowsSystem32SRU

以上文章来源于效率源公众号 ,作者源妹


文章来源: https://www.secpulse.com/archives/127088.html
如有侵权请联系:admin#unsafe.sh