想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。本文将详细分享MicrosoftWindows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、
浏览器资源、外部设备/USB使用、账户使用情况、文件/文件夹打开、网络活动/物理位置。
本文内容多多,文末附带功能使用小技巧及本文思维导图,希望它能成为你Windows取证分析工作的案头必备宝典。
文章精华大合集
01.windows时间规则
1.标准信息创建文件:文件修改、文件访问、文件metadata时间改变访问文件:文件访问时间改变(NTFSwin7+不变)文件修改:文件修改,文件metadata时间改变文件重命名:文件metadata时间改变拷贝文件:文件修改时间继承自原始,文件访问,文件metadata,文件创建时间改变文件移动:1)同卷移动文件:文件metadata时间改变2)跨卷移动文件通过系统命令:修改时间来自原始文件,文件访问,文件metadata,文件创建时间改变通过复制粘贴:文件修改,文件metadata,文件创建都来自原始文件,访问时间为复制粘贴时间
02.文件下载
1.打开/保存传输单元XP:NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Win7/8/10:NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU
2.电子邮件附件:outlookXP:%USERPROFILE%\LocalSettings\ApplicationData\Microsoft\Outlook
Win7/8/10:%USERPROFILE%\AppData\Local\Microsoft\Outlook
OLK:HKEY_CURRENT_USER\Software\Microsoft\Office\对应版本\Outlook\Security
3.
