Windos 系统目录
Windows系统目录
├—WINDOWS
│ ├—system32(存放Windows的系统文件和硬件驱动程序)
│ │ ├—config(用户配置信息和密码信息)
│ │ │ └—systemprofile(系统配置信息,用于恢复系统)
│ │ ├—drivers(用来存放硬件驱动文件,删除后不会影响系统正常运行,但如:键盘、鼠标将会提示未能安装正确驱动,不建议删除)
│ │ ├—spool(用来存放系统打印文件。包括打印的色彩、打印T)
│ │ ├—wbem(存放WMI测试程序,用于查看和更改公共信息模型类、实例和方法等。请勿删除)
│ │ ├—IME(用来存放系统输入法文件,类似WINDOWS下的IME文件夹)
│ │ ├—CatRoot(计算机启动测试信息目录,包括了计算机启动时检测的硬软件信息)
│ │ ├—Com(用来存放组件服务文件)
│ │ ├—ReinstallBackups(电脑中硬件的驱动程序备份)
│ │ ├—DllCache(用来存放系统缓存文件。当系统文件被替换时,文件保护机制会复制这个文件夹下的文件去覆盖非系统文件)
│ │ ├—GroupPolicy(组策略文件夹)
│ │
│ ├—system(系统文件夹,用来存放系统虚拟设备文件)
│ ├—N t U n i n s t a l l NtUninstallNtUninstall(每给系统打一个补丁,系统就会自动创建这样的一个目录,可删除)
│ ├—security(系统安全文件夹,用来存放系统重要的数据文件)
│ ├—srchasst(搜索助手文件夹,用来存放系统搜索助手文件,与msagent文件夹类似)
│ ├—repair(系统修复文件夹,用来存放修复系统时所需的配置文件)
│ ├—Downloaded Program Files(下载程序文件夹,用来存放扩展IE功能的ActiveX等插件)
│ ├—inf(用来存放INF文件。INF文件最常见的应用是为硬件设备提供驱动程序服务,不建议删除其中文件)
│ ├—Help(Windows帮助文件)
│ ├—Config(系统配置文件夹,用来存放系统的一些临时配置的文件)
│ ├—msagent(微软助手文件夹,存放动态的卡通形象,协助你更好地使用系统。若觉得没有必要,可直接删除)
│ ├—Cursors(鼠标指针文件夹)
│ ├—Media(声音文件夹,开关机等wav文件存放于此)
│ ├—Mui(多语言包文件夹,用来存放多国语言文件。简体中文系统中这个文件夹默认是空的,但不建议删除此文件夹)
│ ├—java(存放Java运行的组件及其程序文件。不建议删除其中文件)
│ ├—Web
│ │ ├—Wall*****(存放桌面壁纸的文件夹)
│ │
│ ├—addins(系统附加文件夹,用来存放系统附加功能的文件)
│ ├—Connection Wizard(连接向导文件夹,用来存放“Internet连接向导”的相关文件)
│ ├—Driver Cache(驱动缓存文件夹,用来存放系统已知硬件的驱动文件)
│ │ └—i386(Windows操作系统自带的已知硬件驱动文件,可删除以节省空间)
│ ├—Temp(系统临时文件夹,临时文件如:收藏夹、浏览网页的临时文件和编辑文件等,即根据操作过程进行临时保存的位置,其中内容可以全部删除)
│ ├—twain_32(扫描仪相关)
│ ├—AppPatch(应用程序修补备份文件夹,用来存放应用程序的修补文件)
│ ├—Debug(系统调试文件夹,用来存放系统运行过程中调试模块的日志文件)
│ ├—Resources(系统资源文件夹,用来存放系统SHELL资源文件,就是我们在桌面上所看到的主题)
│ │ └—Themes(桌面主题都存放于此,可删除无用主题)
│ ├—WinSxS(存储各个版本的Windows XP组件,减少因为DLL文件而引起的配置问题)
│ ├—ime(输入法信息)
│ ├—PCHealth(用来存放协调、配置和管理计算机正常运行的文件)
│ │ └—HelpCtr(帮助和支持)
│ │ ├—Binaries(我们常用的msconfig就在这里哟)
│ ├—Offline Web Pages(脱机浏览文件存放于此)
│ ├—Prefetch(预读取文件夹,用来存放系统已访问过的文件的预读信息(此信息是系统在访问时自动生成的新信息),以加快文件的访问速度,其扩展名为“PF”。可以将此文件夹中的文件删除)
│ ├—ShellNew
│ ├—Fonts(字体文件夹。要安装某种字体只需将字体文件复制到该目录下即可)
│ ├—pss(用来备份系统启动配置文件的,一般对“Boot.ini”、“System.ini”和“Win.ini”三个文件进行备份,扩展名为“backup”。如果系统原有的这三个文件损坏的话,可以从这里进行恢复。不建议删除)
│ ├—Registration(注册文件夹,用来存放用于系统COM+或者其他组件注册的相关文件。不建议删除这里的文件)
│ └—Downloaded Installations(存放一些使用Windows Installer技术的安装程序,主要用来对程序进行修复等操作)
├—Documents and Settings(Windows NT/2000/XP/2003操作系统中用来存放用户配置信息的文件夹。默认情况下在系统分区根目录下,其下包括:Administrator、All Users、Default User、用户文件夹。如果你将隐藏和系统的文件(夹)都显示出来的话,还会发现诸如LocalService、NetworkService等更多的文件夹。
1、用户名/「开始」菜单 All Users「开始」菜单
2、收藏夹:该文件夹位于每个用户名目录下。
3、My Documents:我的文档
4、Local Settings:该文件夹保存了应用程序数据、历史和临时文件
等)
│ ├—Default User
│ │ ├—Application Data(通用应用程序数据文件夹。此处存放着已经安装的一些应用程序的专用数据,其下面有三个文件夹:Local、LocaILow、Roaming)(Local-默认解压位置,LocaILow-共享数据,Roaming-程序使用后产生的数据文件)(LocaI-记录的一般是非漫游数据,Roaming-记录的一般是漫游应用数据)
│ │ ├—桌面
│ │ ├—Favorites(收藏夹)
│ │ ├—NetHood(网络共享目录)
│ │ ├—My Documents(我的文档)
│ │ ├—PrintHood(打印共享目录)
│ │ ├—Recent(最近打开的文档)
│ │ ├—SendTo(鼠标右键发送到)
│ │ ├—「开始」菜单
│ │ ├—Templates(模板文件夹,可能有Word、Excel等的模板文件)
│ │ └—Local Settings
│ │ ├—Application Data
│ │ └—Temp(临时文件目录。在系统和软件的运行过程中产生的临时文件就存放在于此。需定期清理)
│ │ └—Temporary Internet Files(Internet临时文件夹。需定期清理)
│ ├—All Users(所有用户文件夹,其中可能包括一些用户的信息和资料,包括快捷方式、账户文件、桌面等,这里的更改对所有用户有效)
│ └—Administrator(系统管理员帐户的文件夹)
├—Program Files(是程序文件,就是说Windows 操作系统,当然也包括其它的操作系统各种软件默认安装到的目录,位于C盘分区"C:Program Files""%ProgramFiles%",但也可根据用户的需要自定义到别的分区,一般情况下不会包括用户的数据文件,根据应用程序的位数,会有C:Program Files (x86)、C:Program Files (x64)
一个初始的 Windows 系统中的 Program Files 里一般有以下文件夹:
Common Files: 提供程序中的一些共享配置文件。
Internet Explorer: 网络浏览器。
Windows Media Player: 媒体播放器。
Movie Maker: 影片制作工具。
Outlook Express: 提供邮件收发功能。
NetMeeting: 网络聊天软件。
Messenger: 新版网络聊天工具。
Online Services: 提供创建网络连接的服务商。
Microsoft Office: 办公软件集合,包括文字处理 Word、表格处理 Excel、幻灯处理 PowerPoint、数据库处理 Access、邮件处理 Outlook 和网页处理 FrontPage。
其余的文件夹,都是之后安装的程序所在文件夹)
│ ├—Common Files(共享的应用程序文件存放于此)
│ ├—Internet Explorer(IE浏览器)
│ ├—ComPlus Applications(COM+ 组件的配置和跟踪,一般为空)
│ ├—Windows Media Player(WINDOWS媒体播放器)
│ ├—WindowsUpdate(用于Windows的升级,可删除)
│ ├—InstallShield Installation Information
│ ├—Uninstall Information(存放软件卸载信息,删除后可能导致部分软件无法卸载)
├—wmpub(windowsmedia service的目录)
├—boot(一键还原等软件的文件夹)
├—Inetpub(IIS文件夹)
├—Downloads(Flashget默认下载文件夹)
├—System Volume Information(系统还原文件夹)
ProgramData(是位于电脑系统盘(默认C盘)根目录的一个系统文件夹,它是公用的被创建文件夹或文件存放的地方,多为软件缓存,这些文件夹或文件由程序或管理员用户控制,很多软件卸载后并没有删除配置,需要我们手动删除。)
PerfLogs(是系统的日志信息,里面会存有磁盘扫描错误信息、测试信息等,文件夹由系统自动生成。)
win目录结构:
tree 查看当前目录结构
tree > xxx.txt 导出目录结构后文件到xxx.txt保存
浏览器详解
浏览器中包括重点的对象如:书签、下载、历史浏览、缓存记录、Cookies,取证中需重点关注:
1、记录信息
C:UsersASUSAppDataLocalPackagesMicrosoft.xxx.xxx
历史数据目录基本上存放了Edge浏览器大部分的上网记录数据,但数据存放相对零散,关键数据会加密;
C:UsersASUSAppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat
这个文件存放了Edge浏览器的历史记录、缓存索引信息、Cookie索引信息以及下载记录等信息,是提取Edge浏览器大部分上网历史信息的关键文件;
Users/XXX/AppData/Local/MicrosoftEdge
目录存放了部分Edge浏览器的缓存实体文件、Cookie实体文件等信息和文件;
2、历史记录
C:UsersASUSAppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat
主要的历史记录基本都存放在WebCacheV01.dat 文件;
3、下载记录
C:UsersASUSAppDataLocalMicrosoftWindowsWebCacheWebCacheV01.dat
主要存放于一些下载记录信息;
4、书签/收藏夹记录
AC/MicrosoftEdge/User/Default/Favorites目录
5、阅读列表
AC/MicrosoftEdge/User/Default/DataStore/Data/nouser1/xxx-xxx/DBStore/spartan.edb
7、cache记录
Users/XXX/AppData/Local/MicrosoftEdge/WebCacheV01.dat、AC/MicrosoftEdge/Cache以及AC/#!001/MicrosoftEdge/Cache
8、cookie记录
Users/XXX/AppData/Local/MicrosoftEdge/WebCacheV01.dat、AC/MicrosoftEdge/Cookies以及AC/#!001/MicrosoftEdge/Cookies
9、浏览记忆恢复
AC/MicrosoftEdge/User/Default/Recovery
Windos 注册表详解
注册表包括以下5个根键
1.HKEY_CLASSES_ROOT说明:该根键包括启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE和OLE信息,类ID编号和应用程序与文档的图标等。2.HKEY_CURRENT_USER说明:该根键包括当前登录用户的配置信息,包括环境变量,个人程序以及桌面设置等3.HKEY_LOCAL_MACHINE说明:该根键包括本地计算机的系统信息,包括硬件和操作系统信息,安全数据和计算机专用的各类软件设置信息4.HKEY_USERS说明:该根键包括计算机的所有用户使用的配置数据,这些数据只有在用户登录系统时才能访问。这些信息告诉系统当前用户使用的图标,激活的程序组,开始菜单的内容以及颜色,字体5.HKEY_CURRENT_CONFIG说明:该根键包括当前硬件的配置信息,其中的信息是从HKEY_LOCAL_MACHINE中映射出来的。
HKEY_CLASSES_ROOT
记录了不同文件的文件扩展名和与之相对应的应用程序。
它主要分为两种:一是已经注册的各类文件的扩展名;一是各种文件类型的有关信息。
以AVIFILE举例说明一下其下面的子项的含义:
1、CLSID:分类标识,系统可以用这个类标识来识别相同类型的文件2、Compressors:它下面有两个子项:auds:用于设置音频数据压缩程序的类标识;vids:用于设置视频数据压缩程序的类标识3、defaultlcon:用于设置默认图标,这个大家可以改一下试试4、RIFFHandlers:在它的下面有两个类标识:AVI:用于设置AVI文件的类标识;WAVE:用于设置WAVE文件的类标识5、protocol:包括了执行程序和编辑程序的路径和文件名:StdExecute(stdfileediting)_server:用于指定编辑程序;StdExecute(stdfileediting)_PackageObjects:用于指定后打开AVI包对象的编辑程序;StdExecute(stdfileediting)_verb:用于设置编辑程序时的工作状态,其中有0、1、2等状态6、Shell子项:用于设置视频文件的外壳:open:用于设置打开AVI文件的程序;play:用于设置播放命令的程序7、Shellex:包括了视频文件的外壳扩展
HKEY_CURRENT_USER
此根键中保存的信息(当前用户的子项信息)与HKEY_USERS_DEFAULT下面的一模一样的。
任何对 HKEY_CURRENT_USER根键中的信息的修改都会导致对HKEY_USERS_DEFAULT中子项的修改
HKEY_LOCAL_MACHINE
此根键中存放的是用来控制系统和软件的设置,由于这些设置是针对那些使用Windows系统的用户而设置的,是一个公共配置信息,所以它与具体的用户没多大关系。
1、HARDWARE子项:该子项包括了系统使用的浮点处理器、串口等信息:ACPI:存放高级电源管理接口数据;DEVICEMAP:用于存放设备映射;DEscriptION:存放有关系统信息;RESOURCEMAP:用于存放资源列表2、SAM子项:这部分被保护了,看不到3、SECURITY子项:该子项只是为将来的高级功能而预留的4、SOFTWARE子项:该子项中保留的是所有已安装的32位应用程序的信息,各个程序的控制信息分别安装在相应的子项中,由于不同的计算机安装的应用程序互不相同,因此这个子项下面的子项信息也不完全一样。5、SYSTEM子项:该子项是启动时所需的信息和修复系统时所需要的信息:currentcontrol:保存了当前驱动程序控制集中的所有信息
HKEY_USERS
此根键中保存的是默认用户(default),当前登录用户和软件(software) 的信息,其中DEFAULT子项是其中最重要的,它的配置是针对未来将会被创建的新用户的。新用户根据默认用户的配置信息来生成自己的配置文件,该配置文件包括环境、屏幕和声音等多种信息,其中常用的3项有:
1、AppEvents子项:它包括了各种应用事件的列表:EventLabels:按字母顺序列表;Schemes:按事件分类列表2、Control Panel子项:它包括内容与桌面、光标、键盘和鼠标等设置有关3、Keyboard layout子项:用于键盘的布局(如语言的加载顺序等) Preload:语言的加载顺序 Substitutes:设置可替换的键盘语言布局 Toggle:用于选择键盘语言
HKEY_CURRENT_CONFIG
此根键存放的是当前配置的文件信息。
注册表总结
实际上不是只有上述五个,我们基本都是使用regedit或regedit32打开注册表;
其实五个之中HKEY_LOCAL_MACHINE、HKEY_USERS才是注册表的键,其它都是从某个分支映射出来的;类似于快捷键或者是别名;
每个分支的作用:
HKEY_CLASSES_ROOT:列出当前计算机注册的所有COM服务器和与应用程序相关联的所有文件扩展名。HKEY_CURRENT_USER:保存着当前登录到由这个注册服务的计算机上的用户配置文件。HKEY_LOCAL_MACHINE:保存操作系统及硬件相关信息的配置单元,它是一个公共的配置信息与具体用户无关,其中关键是两个键值SOFTWARE:保存着与这台电脑中安装的应用程序相关的设置。SYSTEM:WINDOWS所装载的设备驱动程序以及当WINDOWS启动时所需要的各种参数。HKEY_USERS:包含当前计算机所有用户配置文件。HKEY_CURRENT_CONFIG:计算机当前会话中的所有硬件配置信息。
注册表常用的数据类型:
二进制值(reg_binary):多数硬件信息以二进制数据存储,而以十六进制格式显示在注册表编辑器中字符串值(reg_sz):包括字符串的注册表键,使用字符串数据类型双字节值(reg_dword):是32位信息常显示成4个字节。它在出错控制功能上用处极大,其数据一般以十六进制格式显示在注册表编辑器中。多字符串值(reg_multi_sz):允许将一系列项目作为单独的一个值使用。对于多种网络协议、多个项目、设备列表以及其他类似的列表项目来说,可以使用多字符串值可扩充字符串值(reg_expand_sz):代表一个可扩展的字符串
手动备份注册表:
1.复制以下两个即可
在windowssystem32config下有以下几个文件用以保存系统配置:SAM,SYSTEM,SOFYWARE,DEFAULT在Documetents and settingsusername文件夹中保存用户配置文件:
NETUSER.DAT,当然对应的LOG文件应该一块保存
2.注册表导出
3.工具备份
点个关注不迷路鸭~
关注公众号“安全猎人”
欢迎
点赞 + 在看、分享本公众号 给更多师傅们哈注:
封面来源于壁纸网站:http://www.netbian.com/s/chaogaoqing
参考资料:
1、https://blog.csdn.net/dianqicyuyan/article/details/122075812
2、猎踪
3、https://www.myeant.com/news/sharing-show-505.html
4、https://www.bbsmax.com/A/gVdnPbpQJW/
原文始发于微信公众号(安全猎人):pc取证-番外篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论