1. 首頁 > 生活經驗 > >

Windows XP SP2 序列解讀,取證分析工作知識

經驗分享生活經驗

想要做好取證分析工作,工具和技術只是輔助,思路才是核心和重點 。本文將詳細分享Microsoft Windows操作系統的基礎數字取證知識,了解數據的存放位置和對應部件,便于快速確定關鍵證據,內容包括windows時間規則、文件下載、程序執行、文件刪除/文件信息、

Windows XP SP2 序列解讀,取證分析工作知識

文章插圖

瀏覽器資源、外部設備/USB使用、賬戶使用情況、文件/文件夾打開、網絡活動/物理位置 。
本文內容多多,文末附帶【搜索】功能使用小技巧及本文思維導圖,希望它能成為你Windows取證分析工作的案頭必備寶典 。

Windows XP SP2 序列解讀,取證分析工作知識

文章插圖

文章精華大合集
01.windows 時間規則
1.標準信息
創建文件:文件修改、文件訪問、文件metadata時間改變
訪問文件:文件訪問時間改變(NTFS win7+不變)
文件修改:文件修改,文件metadata時間改變
文件重命名:文件metadata時間改變
拷貝文件:文件修改時間繼承自原始 , 文件訪問 , 文件metadata,文件創建時間改變
文件移動:
1)同卷移動文件:文件metadata時間改變
2)跨卷移動文件
? 通過系統命令:修改時間來自原始文件,文件訪問,文件metadata,文件創建時間改變
? 通過復制粘貼:文件修改,文件metadata,文件創建都來自原始文件 , 訪問時間為復制粘貼時間
02.文件下載
1.打開/保存傳輸單元
XP:NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU
2.電子郵件附件:outlook
XP:
%USERPROFILE%LocalSettingsApplicationDataMicrosoftOutlook
Win7/8/10:
%USERPROFILE%AppDataLocalMicrosoftOutlook
OLK:
HKEY_CURRENT_USERSoftwareMicrosoftOffice對應版本OutlookSecurity
3.微信桌面版
C:Users<username>DocumentsWeChat Files微信號Files
4.QQ電腦版
C:Users<username>DocumentsTencent FilesQQ號FileRecv
5.skype歷史
XP:
C:Documents and Settings<username>ApplicationSkype<skype-name>
Win7/8/10:
C:%USERPROFILE%AppDataRoamingSkype<skype-name>
6.瀏覽器
1)internet explorer
IE8-9:
%USERPROFILE%AppDataRoamingMicrosoftWindowsIEDownloadHistoryindex.dat
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat
2)firefox
v3-25:
%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
v26+:
%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultplaces.sqlite Table:moz_annos
3)chrome
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultHistory
7.下載(firefox,internet Explorer)管理器
1)firefox
XP:
%userprofile%Application DataMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
Win7/8/10:
%userprofile%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
2)Internet Explorer
IE8-9:
%USERPROFILE%AppDataRoamingMicrosoftWindows IEDownloadHistory
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCache WebCacheV*.dat
8.ADS Zone.Identifier(備用數據流)
從XP SP2開始,當文件通過瀏覽器從“Internet區域”下載到NTFS卷時 , 會向文件中添加備用數據流 。
03.程序執行
1.UserAssist
? NTUSER.DAT HIVE
? NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist {GUID}Count
2.Windows10 時間軸
C:Users<profile>AppDataLocalConnectedDevicesPlatformL.<profile>ActivitiesCache.db
3.最近應用
NTUSER.DATSoftwareMicrosoftWindowsCurrent VersionSearchRecentApps
4.shimcache
XP:
SYSTEMCurrentControlSetControlSessionManagerAppCompatibility
Win7/8/10:
SYSTEMCurrentControlSetControlSession ManagerAppCompatCache
5.快速訪問
Win7/8/10:
C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent AutomaticDestinations
6.Amcache.hve(ProgramDataUpdater)
Win7/8/10:
C:WindowsAppCompatProgramsAmcache.hve
【Windows XP SP2 序列解讀,取證分析工作知識】7.系統資源利用率管理器(SRUM)(數據庫)
SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions {d10ca2fe-6fcf4f6d-848e-b2e99266fa89} = Application Resource Usage Provider C:Windows System32SRU
8.BAM/DAM
? SYSTEMCurrentControlSetServicesbamUserSettings{SID}
? SYSTEMCurrentControlSetServicesdamUserSettings{SID}
9.最新訪問的MRU
XP:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU
10.prefetch
WinXP/7/8/10:
C:WindowsPrefetch
04.文件刪除/文件信息
1.xp 查詢-ACMRU
? NTUSER.DAT HIVE NTUSER.DATSoftwareMicrosoftSearch AssistantACMru####
2.縮略圖(Thumbcache)
C:%USERPROFILE%AppDataLocalMicrosoftWindowsExplorer
3.Thumbs.db
WinXP/Win8|8.1:
在啟用了家庭組的任何地方自動創建 。
Win7/8/10:
在任何地方自動創建并通過UNC路徑(本地或遠程)訪問 。
4.IE|Edge file://
Internet Explorer
IE6-7:
%USERPROFILE%LocalSettingsHistoryHistory.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat
5.輪詞查詢
Win7/8/10 NTUSER.DAT Hive:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerWordWheelQuery
6.win7/8/10回收站
隱藏的系統文件夾
? C:$Recycle.bin
7.XP回收站
隱藏的系統文件夾
? C:RECYCLER” 2000/NT/XP/2003
05.瀏覽器資源
1.歷史信息
1)Internet Explorer
IE6-7:
%USERPROFILE%Local SettingsHistoryHistory.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistory History.IE5
IE10, 11, Edge:
%USERPROFILE%AppDataLocalMicrosoftWindows WebCacheWebCacheV*.dat
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultHistory
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultHistory
4)QQ瀏覽器
%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultHistory
2.書簽信息
1)Internet Explorer
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders下Favorites鍵值
Edge:
%USERPROFILE%AppDataLocalPackagesmicrosoft.
microsoftedge_<APPID>ACMicrosoftEdgeCookies
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefox Profiles<random text>.defaultplaces.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultBookmarks
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultBookmarks
4)QQ瀏覽器
? %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultQQ號Bookmarks_01
? %USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultBookmarks_01
3.cookies
1)Internet Explorer
IE8-9:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE10:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE11:
%USERPROFILE%AppDataLocalMicrosoftWindowsINetCookies
Edge:
%USERPROFILE%AppDataLocalPackagesmicrosoft.
microsoftedge_<APPID>ACMicrosoftEdgeCookies
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<random
text>.defaultcookies.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefox
Profiles<randomtext>.defaultcookies.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser
DataDefaultLocal Storage
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data
DefaultLocal Storage
4)QQ瀏覽器
%USERPROFILE%AppDataLocalTencentQQBrowserUser DataDefaultCookies
4.緩存
1)Internet Explorer
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5
IE10:
%USERPROFILE%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5
IE11:
%USERPROFILE%AppDataLocalMicrosoftWindowsINetCacheIE
Edge:
%USERPROFILE%AppDataLocalPackagesmicrosoft.microsoftedge_<APPID>ACMicrosoftEdgeCache
2)Firefox
XP:
%USERPROFILE%Local SettingsApplicationDataMozillaFirefox Profiles<randomtext>.defaultCache
Win7/8/10:
%USERPROFILE%AppDataLocalMozillaFirefox Profiles<randomtext>.defaultCache
3)Chrome
XP:
%USERPROFILE%Local SettingsApplication DataGoogleChromeUser DataDefaultCache – data_# and f_######
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data DefaultCache – data_# and f_######
5.flash和超級cookies
Win7/8/10:
%APPDATA%RoamingMacromediaFlashPlayer#SharedObjects<randompr ofileid>
6.會話還原
1)Internet Explorer
Win7/8/10:
%USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/ Recovery
2)Firefox
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultsessionstore.js
3)Chrome
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser Data Default
文件=當前會話 , 當前打開的標簽,最后一次會話,最后的標簽
06.外部設備/USB使用
1.關鍵字認證
? SYSTEMCurrentControlSetEnumUSBSTOR
? SYSTEMCurrentControlSetEnumUSB
2.插入/拔出時間
1)即插即用日志文件(第一次)
XP:
C:Windowssetupapi.log
Win7/8/10:
C:Windowsinfsetupapi.dev.log
2)(第一次,最后一次,拔出)(在Win7/8/10)
System Hive:
CurrentControlSetEnumUSBSTORVen_Prod_VersionUSBSerial#Properties {83da6326-97a6-4088-9453-a19231573b29}####
0064 = 第一次安裝(Win7-10)
0066 = 最后一次連接 (Win8-10)
0067 = 最后一次拔出 (Win8-10)
3.用戶
? 查找GUID從SYSTEMMountedDevices
? NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorer MountPoints2
4.pnP 事件
Win7/8/10:
%system root%System32winevtlogsSystem.evtx
5.卷序列號
SOFTWAREMicrosoftWindowsNTCurrentVersion ENDMgmt
6.驅動器號和卷名
XP:
找到ParentIdPrefix – SYSTEMCurrentControlSetEnum USBSTOR
Win7/8/10:
? SOFTWAREMicrosoftWindows Portable DevicesDevices
? SYSTEMMountedDevices
7.文件快捷方式(LNK)
XP:
%USERPROFILE%Recent
Win7/8/10:
? %USERPROFILE%AppDataRoamingMicrosoftWindows Recent
? %USERPROFILE%AppDataRoamingMicrosoftOfficeRecent
07.賬戶使用情況
1.上次登錄
? C:windowssystem32configSAM
? SAMDomainsAccountUsers
2.上次密碼修改
? C:windowssystem32configSAM
? SAMDomainsAccountUsers
3.遠程桌面使用情況
Win7/8/10:
%SYSTEM ROOT%System32winevtlogsSecurity.evtx
4.服務事件
所有事件ID對應的系統日志
7034 – 服務意外崩潰
7035 – 服務發送了啟動/停止控制
7036 – 服務已啟動或已停止
7040 – 啟動類型已更改(Boot | On Request | Disabled)
7045 – 系統上安裝了一項服務(Win2008R2 +)
4697 – 系統上安裝了一項服務(來自安全日志)
5.登錄類型
Win7/8/10:
Event ID 4624
6.授權事件
Win7/8/10:
%SYSTEM ROOT%System32winevtlogsSecurity.evtx
7.成功或失敗登錄
Win7/8/10:
%system root%System32winevtlogsSecurity.evtx
08.文件/文件夾打開
1.打開/保存 MRU
XP:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 OpenSaveMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU
2.最近文件
NTUSER.DAT:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
3.快速訪問
Win7/8/10:
C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations
4.shell bages
訪問Explorer:
? USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags
? USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBagMRU
訪問桌面:
? NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU
? NTUSER.DATSoftwareMicrosoftWindowsShellBags
5.文件快捷方式(LNK)
XP:
C:%USERPROFILE%Recent
Win7/8/10:
C:%USERPROFILE%AppDataRoamingMicrosoftWindowsRecent
C:%USERPROFILE%AppDataRoamingMicrosoftOfficeRecent
6.prefetch
WinXP/7/8/10:
C:WindowsPrefetch
7.最后訪問的MRU
XP:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDl32 LastVisitedMRU
Win7/8/10:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32 LastVisitedPidlMRU
8.IE/Edge file://
Internet Explorer
IE6-7:
%USERPROFILE%Local SettingsHistory History.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
IE10-11
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat
9.office最近使用文件
NTUSER.DATSoftwareMicrosoftOfficeVERSION
? 14.0 = Office 2010
? 11.0 = Office 2003
? 12.0 = Office 2007
? 10.0 = Office XP
NTUSER.DATSoftwareMicrosoftOfficeVERSIONUserMRULiveID_####FileMRU
? 15.0 = Office 365
09.網絡活動/物理位置
1.時區
SYSTEM Hive:
SYSTEMCurrentControlSetControlTimeZoneInformation
2.cookies
1)Internet Explorer
IE6-8:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE10:
%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies
IE11:
%USERPROFILE%AppDataLocalMicrosoftWindowsInetCookies
2)Firefox
XP:
%USERPROFILE%Application DataMozillaFirefoxProfiles<randomtext>.default cookies.sqlite
Win7/8/10:
%USERPROFILE%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultcookies.sqlite
3)Chrome
XP:
%USERPROFILE%Local SettingsApplicationDataGoogleChromeUser DataDefault Local Storage
Win7/8/10:
%USERPROFILE%AppDataLocalGoogleChromeUser DataDefaultLocal Storage
3.網絡歷史
Win7/8/10 SOFTWARE HIVE:
? SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged
? SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesManaged
? SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListNlaCache
4.無線局域網事件日志
Microsoft-Windows-WLAN-AutoConfig Operational.evtx
5.瀏覽器搜索記錄
Internet Explorer
IE6-7:
%USERPROFILE%Local SettingsHistoryHistory.IE5
IE8-9:
%USERPROFILE%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
IE10-11:
%USERPROFILE%AppDataLocalMicrosoftWindowsWebCacheWebCacheV*.dat Firefox
XP:
%userprofile%Application DataMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite
Win7/8/10:
%userprofile%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultplaces.sqlite
6.系統資源利用率管理器(SRUM)(無線網絡)
? SOFTWAREMicrosoftWindowsNTCurrentVersionSRUMExtensions
? {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor
? {DD6636C4-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor
? SOFTWAREMicrosoftWlanSvcInterfaces C:WindowsSystem32SRU