神秘嘉宾Wittenfeld,对12题涉及的一个知识点进行了扩展,当然,最终的答案应当以官方公布的为准,如有出入,纯属正常。
来源:信息时代的犯罪侦查,作者:嘟嘟的爸爸
(1)hexacorn. JumpLists file names and AppID calculator
https://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/
(2)Blackbag team. Windows 10 Jump List Forensics
https://www.blackbagtech.com/blog/windows-10-jump-list-forensics/
(3)Bhupendra Singh, Upasna Singh. A forensic insight into Windows 10 Jump Lists
https://cyberforensicator.com/wp-content/uploads/2017/01/1-s2.0-S1742287616300202-main.2-14.pdf
检材中是否打开过epub电子书文件?如有,给出使用的程序名及打开的文件名。
2、X-Ways Forensics 19.9 SR-7
3、AppID calculator form hexacorn v0.2
https://www.hexacorn.com/blog/2013/04/30/jumplists-file-names-and-appid-calculator/
https://www.nirsoft.net/utils/jump_lists_view.html
C盘Recent文件夹内有“Sandalwood Death_ A Novel (Chinese Literature Today Book Series).epub.lnk”。
1来自4d991baf44c72af0.automaticDestinations-ms;
2来自5f7b5f1e01b83767.automaticDestinations-ms;
3来自C盘Recent文件夹内“Sandalwood Death_ A Novel (Chinese Literature Today Book Series).epub.lnk”。
lnk文件指向“peterDownloadsSandalwood Death_ A Novel (Chinese Literature Today Book Series).epub”。
“UserspeterAppDataRoaming360safeSoftMgrreaderdatareadercorereadercore-settings.dat”文件。
5.readercore-settings.dat文件内容
“C:UserspeterAppDataRoaming360safeSoftMgrreaderReader.exe”
“Users<username>AppDataRoamingMicrosoftWindowsRecent”文件夹下。其分为automatic和custom两种类型,分别对应“AutomaticDestinations-ms”和“CustomDestinations-ms”。
JumpList使用AppID作为文件名,保存对应应用程序的最近访问记录。其中AppID“5f7b5f1e01b83767”为系统应用Quick Access(快速访问)。
使用“360阅读”打开任意epub文件,使用jumplistview查看相关信息,确认“360阅读”的AppID为“4d991baf44c72af0”。
根据微软的文档,Application User Model IDs (AppUserModelIDs)分为应用程序定义(Application-Defined)和操作系统定义(System-Defined)两种。应用程序可以为自己定义一个固定的AppID。如果没有定义,则操作系统会按照一定的算法计算AppID。
根据hexacorn的JumpLists file names and AppID calculator一文,AppID可以通过CRC64进行计算,但需要遵守下列规则:
%USERPROFILE%AppDataRoaming目录的KNOWNFOLDERID为{3EB685DB-65F9-4CF6-A03A-E3EF65729F3D}
CRC64({3EB685DB-65F9-4CF6-A03A-E3EF65729F3D}360SAFESOFTMGRREADERReader.exe)。
本来以为是脚本问题或是Windows10改变了算法,但今天再次测试时想到了一种可能性,如果不计算KNOWNFOLDERID,会得到怎样的结果。简单对脚本进行了修改,再次进行计算。
所以计算某些应用程序的AppID时,KNOWNFOLDERID不进行转换。
“C:Program Files (x86)KingsoftWPS Office11.3.0.8775office6wps.exe”,
其中包含版本号。经测试,将WPS升级后,路径发生变化,但AppID仍为579438f135536aec,可以确定WPS为应用程序定义的AppID。
https://forensicswiki.xyz/wiki/index.php?title=List_of_Jump_List_IDs
https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt
2.Winrar直接右键解压zip文件,JumpList不记录
3.Winrar界面中打开zip文件,JumpList记录
2.WPS中打开docx文件,JumpList记录
3.WPS中拖入docx文件,JumpList不记录
4.在WPS中拖入docx文件后中另存文件,WPS的JumpList不记录,Quick Access记录
【编者注1】上述JumpList记录是指应用程序和Quick Access的JumpList都进行记录。
【编者注2】由于订阅号内无法直接外链,本号把外链地址放在对应的锚点后面,特此声明。
法部电子数据能力验证(2020年)第15题涉及的细节与陷阱
一个“字”反映“图像处理及分析”的基本功
评论