Windows系统都有多个内部帐户、文件创建、删除、执行等时间相关活动。了解系统活动相关痕迹位置,有助于获取正在调查事件的线索,进行溯源取证。
名词解释
MRU:最近使用
SRUM:系统资源利用率管理器
SAM:安全帐户管理
MUI:多语言用户界面
Thumbnails:缩略图
AppCompatCache:应用程序兼容性数据库
LNK:快捷方式
SSID:无线网络名称
Windows活动痕迹概览
1. 文件下载
1.1 Open/Save MRU
Open/SaveMRU键跟踪在 Windows shell 对话框中打开或保存的文件。不仅包括 Internet Explorer 和 Firefox 等 Web 浏览器,还包括大多数常用应用程序。
位置:
XP
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU
Win7-10
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU
说明:
“*”: 此子键跟踪 OpenSave 对话框中输入的任何扩展名的最新文件
.??? (3个字母的扩展名): 该子项按特定扩展名存储 OpenSave 对话框中的文件信息。
1.2 Email
Email 附件必须使用 MIME/base64 格式进行编码。
Outlook位置:
XP
%USERPROFILE%Local SettingsApplication DataMicrosoftOutlook
Win7-10
%USERPROFILE%AppDataLocalMicrosoftOutlook
说明:
在这些位置找到的 MS Outlook 数据文件,比如 OST 和 PST 文件。还应检查 OLK 和 Content.Outlook 文件夹。
1.3 Skype History
Skype 历史记录保存聊天会话以及从一台计算机传输到另一台计算机的文件的日志,此功能在Skype 安装中默认打开。
Skype位置:
XP
C:Documents and Settings<username>ApplicationSkype<skype-name>
Win7-10
C:Users<username>AppDataRoamingSkype<skype-name>
说明:每个条目都有一个日期/时间值以及与该操作关联的 Skype 用户名。
1.4 Downloads.sqlite
Firefox 有一个内置的下载管理器应用程序,可以保存用户下载的每个文件的历史记录。该浏览器工件可以提供有关用户访问过的站点以及他们从这些站点下载的文件类型的信息。
Firefox 位置:
XP
%userprofile%Application DataMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
Win7-10
%userprofde%AppDataRoamingMozilla FirefoxProfiles<random text>.defaultdownloads.sqlite
说明:
Downloads.sqlite 包括:
-
文件名、大小和类型
-
下载链接
-
文件保存位置
-
用于打开文件的应用程序
-
下载开始和结束时间
1.5 Index.dat/Places.sqlite
与“文件下载”没有直接关系,但是为每个本地用户帐户记录文件访问次数(频率)。
Internet Explorer 位置:
XP
%userprofile%Local SettingsHistoryHistory.IE5
Win7-10
%userprofde%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
%userprofile%AppDataLocalMicrosoftWindowsHistoryLowHistory.IE5
Firefox 位置:
XP
%userprofile%Application DataMozilla FirefoxProfiles<random text>.defaultplaces.sqlite
Win7-10
%userprofde%AppDataRoamingMozilla FirefoxProfdes<random text>.defaultplaces.sqlite
说明:历史上的许多站点都会列出从远程站点打开并下载到本地系统的文件,历史记录将记录通过链接访问的网站上文件的访问情况。
2. 程序执行
2.1 UserAssist
从桌面启动的基于 GUI 的程序在 Windows 系统上进行跟踪。UserAssist 是注册表中的一个键,其中包含用户经常执行的程序的记录。文件名、上次执行时间和执行次数等值可以在 UserAssist 键中找到。
位置:
NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist{GUID}Count
说明:所有值均采用 ROT-13 编码。XP 的 GUID
-
75048700 活动桌面
Win7-10 的 GUID
-
CEBFF5CD 可执行文件执行
-
F4E57C4B 快捷方式文件执行
Win7-10 UserAssist 的程序位置
-
ProgramFilesX64 6D809377-...
-
ProgramFilesX86 7C5A40EF-...
-
System 1AC14E77-...
-
SystemX86 D65231BO-...
-
Desktop B4BFCC3A-...
-
Documents FDD39ADO-...
-
Downloads 374DE290-...
-
UserProfiles 0762D272-...
2.2 LastVisitedMRU
跟踪应用程序打开 OpenSaveMRU 注册表项中记录的特定可执行文件。此外,每个值还跟踪该应用程序访问的最后一个文件的目录位置。示例:Notepad.exe 上次运行时使用 C:Users<Usemame>Desktop 文件夹
位置:
XP
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedMRU
Win7-10
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU
说明:跟踪 OpenSaveMRU 中打开文件的应用程序以及最后使用的文件路径。
2.3 RunMRU
每当用户执行“Start”->“Run”命令时,都会记录该执行的命令的条目。
位置:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
说明:
命令执行的顺序列在 RunMRU 列表值中,字母代表命令的执行顺序。
2.4 Services Events
分析日志以查找启动时运行的可疑服务。
位置:
-
7034:服务意外崩溃。
-
7035:服务发送了启动/停止控制。
-
7036:服务启动或停止。
-
7040-:启动类型已更改。
说明:启动时启动的服务说明了持久性。服务可能会因进程注入等攻击而崩溃。
2.5 Win7-10 Jump Lists
Windows 7 任务栏(跳转列表)旨在允许用户快速轻松地“跳转”或访问他们经常或最近使用的项目。此功能不仅可以是最近的媒体文件,还可以是最近的任务。存储在AutomaticDestinations文件夹中的每个数据都有一个唯一的文件,前面带有关联应用程序的 AppID。
位置:
Win7-10
C:Users<user>AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations
说明:首次执行应用程序的时间。
-
创建时间 = 项目首次添加到 AppID 文件中的时间
上次执行打开文件的应用程序的时间。
-
修改时间 = 上次将项目添加到 AppID 文件的时间。
跳转列表 ID 列表可在以下位置找到:https://forensics.wiki/list_of_jump_list_ids/
2.6 Prefetch
通过预加载常用应用程序的代码页来提高系统性能。缓存管理器监视每个应用程序或进程引用的所有文件和目录,并将它们映射到 .pf 文件中,XP 和 Win7-10 上仅限 128 个文件。
位置:
XP/Win7-10
C:WindowsPrefetch
说明:每个 .pf 将包含最后一次执行时间、运行次数以及程序使用的设备和文件句柄。
首次执行该名称和路径的日期/时间文件
-
.pf 文件的创建日期(-10 秒)
上次执行该名称和路径的日期/时间文件
-
嵌入 .pf 文件的上次执行时间。
-
.pf 文件的上次修改日期(-10 秒)
2.7 AppCompatCache
Windows 使用应用程序兼容性数据库(Application Compatibility Cache, AppCompatCache)来识别可执行文件可能存在的应用程序兼容性问题。
跟踪可执行文件的文件名、文件大小、上次修改时间以及 Windows XP 中的上次更新时间。
位置:
XP
SYSTEMCurrentControlSetControlSessionManagerAppCompatibility
Win7-10
SYSTEMCurrentControlSetControlSession ManagerAppCompatCache
说明:在 Windows 系统上运行的任何可执行文件都可以在该键中找到。可以使用此key来识别执行特定恶意软件。此外,根据对基于时间的数据的解释,也许能够确定系统上次执行或活动的时间。
-
Windows XP 最多包含 96 个条目,LastUpdateTime 在文件执行时更新
-
Windows 7 最多包含1,024 个条目
-
Win7-10 系统上不存在LastUpdateTime
-
解析工具:MANDIANT ShimCacheParse
3. 文件打开/创建
3.1 Open/Save MRU
Open/SaveMRU 跟踪在 Windows shell 对话框中打开或保存的文件。不仅包括 Internet Explorer 和 Firefox 等 Web 浏览器,还包括大多数常用应用程序。
位置:
XP
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSaveMRU
Win7-10
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePIDlMRU
说明:
“*”: 此子键跟踪 OpenSave 对话框中输入的任何扩展名的最新文件
.??? (3个字母的扩展名): 该子项按特定扩展名存储 OpenSave 对话框中的文件信息。
3.2 Recent Files
注册表项将跟踪最后打开的文件和文件夹,并用于填充“开始”菜单的“最近”菜单中的数据
位置:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
说明:
-
Recent Files :总体键将跟踪最近打开的 150 个文件或文件夹的总体顺序。MRUListEx 将跟踪每个文件/文件夹打开的时间顺序。该键的最后输入和修改时间将是最后打开的特定扩展名的文件的时间和位置。
-
.??? :该子项存储最后打开的具有特定扩展名的文件。MRUListEx 将跟踪每个文件/文件夹打开的时间顺序。该键的最后输入和修改时间将是最后打开的特定扩展名的文件的时间和位置。
-
Folder:该子项存储最后打开的文件夹。MRUListEx 将跟踪每个文件/文件夹打开的时间顺序。该键的最后输入和修改时间将是最后打开的特定扩展名的文件的时间和位置。
3.3 Shellbags
ShellBags是一组用来记录文件夹(包括挂载网络驱动器文件夹和挂载设备的文件夹)的名称、大小、图标、视图、位置的注册表项,可以跟踪 Windows 资源管理器的用户窗口查看首选项,判断文件夹中是否发生活动。在某些情况下,还可以查看特定文件夹中的文件。
位置:
XP
NTUSER.DATSoftwareMicrosoftWindowsShellBags
NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU
NTUSER.DATSoftwareMicrosoftWindowsShellNoRoamBags
NTUSER.DATSoftwareMicrosoftWindowsShellNoRoamBagMRU
Win7-10
USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags
USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBagMRU
NTUSER.DATSoftwareMicrosoftWindowsShellBagMRU
NTUSER.DATSoftwareMicrosoftWindowsShellBags
说明:
存储有关用户最近浏览过的文件夹的信息。
3.4 LastVisitedMRU
跟踪应用程序打开 OpenSaveMRU 注册表项中记录的特定可执行文件。此外,每个值还跟踪该应用程序访问的最后一个文件的目录位置。示例:Notepad.exe 上次运行时使用 C:Users<Usemame>Desktop 文件夹。
位置:
XP
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedMRU
Win7-10
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU
说明:跟踪 OpenSaveMRU 中打开文件的应用程序以及最后使用的文件路径。
3.5 Office Recent Files
微软 Office 程序将跟踪自己的“最近使用的文件”列表,以便用户更轻松地记住他们编辑的最后一个文件。
位置:
NTUSER.DATSoftwareMicrosoftOfficeVERSION
-
14.0 = Office 2010
-
12.0 = Office 2007
-
11.0 = Office 2003
-
10.0 = Office XP
说明:
与 Recent Files 类似,Office Recent Files 跟踪每个微软 Office 应用程序最近打开的文件。根据 MRU,最后添加的条目将是特定微软 Office 应用程序打开最后一个文件的时间。
3.6 Shortcut (LNK) Files
快捷方式文件是由 Windows 自动创建的,比如,最近的项目,打开本地和远程数据文件和文档将生成快捷方式文件(.Ink)
位置:
XP
C:Documents and Settings<usemame>Recent
Win 7-10
C:Users<user>AppDataRoamingMicrosoftWindowsRecent
C:Users<user>AppDataRoamingMicrosoftOfficeRecent
说明:
首次打开该文件的日期/时间
-
快捷方式 (LNK) 文件的创建日期
上次打开该文件的日期/时间文件
-
快捷方式 (LNK) 文件的上次修改日期
LNKTarget 文件(内部LNK 文件信息)数据:
-
目标文件的修改时间、访问时间和创建时间
-
卷信息(名称、类型、序列号)
-
网络共享信息
-
原文件位置
-
系统名称
3.7 Prefetch
通过预加载常用应用程序的代码页来提高系统性能。缓存管理器监视每个应用程序或进程引用的所有文件和目录,并将它们映射到 .pf 文件中,XP 和 Win7-10 上仅限 128 个文件。
位置:
XP/Win7-10
C:WindowsPrefetch
说明:可以检查每个 .pf 文件以查找最近使用的文件/设备句柄。
3.8 Win7-10 Jump Lists
Windows 7 任务栏(跳转列表)旨在允许用户快速轻松地“跳转”或访问他们经常或最近使用的项目。此功能不仅可以是最近的媒体文件,还可以是最近的任务。存储在AutomaticDestinations文件夹中的每个数据都有一个唯一的文件,前面带有关联应用程序的 AppID。
位置:
Win7-10
C:Users<user>AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations
说明:使用结构化存储查看器打开“AutomaticDestination”跳转列表文件之一。这些文件中的每一个都是一个单独的 LNK 文件。它们也按照从最早的(通常为 1)到最近的(最大整数值)。
3.9 Index.dat file://
关于 IE 历史记录文件中存储的信息不仅仅与互联网浏览有关。还记录本地和远程(通过网络共享)文件访问,为我们提供了一种极好的方法来确定系统上每天访问的文件和应用程序。
位置:
XP
%userprofile%Local SettingsHistoryHistory.IE5
Win7-10
%userprofile%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
%userprofile%AppDataLocalMicrosoftWindowsHistoryLowHistory.IE5
说明:存储在 index.dat 中为:file:///C:/directory/filename.ext,并不意味着文件已在浏览器中打开。
4. 文件删除
4.1 XP ACMRU
通过 Windows XP 计算机上的搜索助手搜索多种内容。搜索助手将记住用户对文件名、计算机或文件中的单词的搜索词。这是在 Windows 系统上可以找到“搜索历史记录”的示例。
位置:
XP
NTUSER.DATSoftwareMicrosoftSearchAssistantACMru####
说明:
-
####=5001:搜索互联网
-
####=5603:全部或部分文档名称
-
####=5604:文件中的单词或短语
-
####=5647:打印机、计算机和人员
4.2 Win7-10 WordWheelQuery
从 Windows 7 计算机上的“开始”菜单栏搜索的关键字。
位置:
Win7-10
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerWordWheelQuery
说明:
关键字以 Unicode 格式编码,并按时间顺序列在 MRUlist 中
4.3 LastVisitedMRU
跟踪应用程序打开 OpenSaveMRU 注册表项中记录的特定可执行文件。此外,每个值还跟踪该应用程序访问的最后一个文件的目录位置。示例:Notepad.exe 上次运行时使用 C:Users<Usemame>Desktop 文件夹
位置:
XP
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedMRU
Win7-10
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU
说明:跟踪 OpenSaveMRU 中打开文件的应用程序以及最后使用的文件路径。
4.4 XP Thumbs.db
Windows XP 计算机上图片所在目录中的隐藏文件。它对所有图片进行编目并存储缩略图的副本,即使图片已被删除。
位置:
以缩略图模式查看的图片所在的每个目录。当您在相机本身上查看照片时,许多相机也会自动生成thumbs.db文件
说明:
-
原始的缩略图
-
最后修改时间
-
原始文件名
4.5 Win7 -10 Thumbnails
在 Vista/Win7-10 版本上,Thumbs.db 不存在。数据位于计算机用户的单个目录下,位于其主目录下的应用程序数据目录中。
位置:
Win7-10
C:Users<usemame>AppDataLocalMicrosoftWindowsExplorer
说明:当用户将文件夹切换到缩略图模式或通过幻灯片放映查看图片时,就会创建这些文件。可以说,我们的缩略图现在存储在单独的数据库文件中。Vista/Win7-10 有四种缩略图尺寸,缓存文件夹中的文件反映了这一点
-
32 -> 小/96 -> 中/256 -> 大号/1024 -> 超大号
缩略图缓存将根据等效数据库文件内容中的缩略图大小存储图片的缩略图副本。
4.6 XP Recycle Bin
回收4是 Windows 文件系统上的一个重要位置,它可以帮助完成取证调查。
位置:
2000/NT/XP/2003,隐藏系统文件夹
-
C:RECYCLER
-
使用用户SID 创建子文件夹
-
名为“INF02”的目录中的隐藏文件
-
INF02 包含删除时间和原始文件名
-
ASCII 和 UNICODE 格式的文件名
说明:
-
SID 可以通过注册表分析映射到用户。
-
回收站中的隐藏文件称为INF02,将文件名映射到从中删除的实际名称和路径。
4.7 Win7-10 Recycle Bin
回收站是 Windows 文件系统上的一个重要位置,它可以帮助完成取证调查。
位置:
Win7-10,隐藏系统文件夹
-
C:$Recycle.bin
-
每个已删除恢复文件的删除时间和原始文件名包含在单独的文件中
说明:
-
SID 可以通过注册表分析映射到用户。
-
Windows 7
-
$1###### 前面的文件包含原始路径和名称。
-
删除日期/时间
-
$R###### 文件前面的文件包含恢复数据。
4.8 Index.dat file://
关于 IE 历史记录文件中存储的信息不仅仅与互联网浏览有关。还记录本地和远程(通过网络共享)文件访问,为我们提供了一种极好的方法来确定系统上每天访问的文件和应用程序。
位置:
XP
%userprofile%Local SettingsHistoryHistory.IE5
Win7-10
%userprofile%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
%userprofile%AppDataLocalMicrosoftWindowsHistoryLowHistory.IE5
说明:存储在 index.dat 中为:file:///C:/directory/filename.ext,并不意味着文件已在浏览器中打开。
原文始发于微信公众号(TahirSec):Windows | 活动痕迹取证总结(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论