Windows | 活动痕迹取证总结（二）

接上文，Windows系统都有多个内部帐户、文件创建、删除、执行等时间相关活动。了解系统活动相关痕迹位置，有助于获取正在调查事件的线索，进行溯源取证。

5. 物理位置

5.1 TimeZone

判断时区。

位置：

SYSTEMCurrentControlSetControlTimeZoneInformation

说明：

时间活动对于活动的关联非常有用。

• 内部日志文件和日期/时间戳将基于系统时区信息。

• 可能有其他网络设备，并且需要将信息与此处收集的时区信息相关联

5.2 Browser Search Terms  

按日期和时间记录访问的网站。为每个本地用户帐户存储详细信息，记录访问次数（频率）。此外，还跟踪本地系统文件的访问；包括搜索引擎中搜索词的网站历史记录。

Internet Explorer 位置：

XP

%userprofile%Local SettingsHistoryHistory.IE5

Win7-10

%userprofile%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
%userprofile%AppDataLocalMicrosoftWindowsHistoryLowHistory.IE5

Firefox 位置：

XP

%userprofile%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

Win7-10

%userprofile%AppDataRoamingMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

5.3 Win7-10 Network History  

• 计算机已连接的网络

• 网络无线或有线的

• 域名/内网名称

• SSID

• 网关MAC 地址

位置：

SOFTWAREMicrosoftWindows NTCurrentVersionNetworkListSignaturesUnmanaged
SOFTWAREMicrosoftWindowsNTCurrentVersionNetworkListSignaturesManaged
SOFTWAREMicrosoftWindowsNTCurrentVersionNetworkListNlaCache

说明：

识别计算机所连接的 Intranet 和网络非常重要，不仅可以知道内网名称，还可以知道该网络上次运行的时间，通过网关 SSID 的 MAC 地址可以进行物理三角测量。

5.4 Cookies

Cookie 可以深入了解访问过哪些网站以及其中可能发生了哪些活动。

Internet Explorer 位置：

XP

%userprofile%Cookies

Win7-10

%userprofile%AppDataRoamingMicrosoftWindowsCookies
%userprofile%AppDataRoamingMicrosoftWindowsCookiesLow

Firefox 位置：

XP

%userprofile%Application DataMozillaFirefoxProfiles<random text>.defaultcookies.sqlite

Win7-10

%userprofile%AppDataRoamingMozillaFirefoxProfiles<random text>.defaultcookies.sqlite

6. USB痕迹

6.1 Key Identification

跟踪插入主机的 USB 设备。

位置：

SYSTEMCurrentControlSetEnumUSBSTOR
SYSTEMCurrentControlSetEnumUSB

说明：

• 识别插入计算机的 USB 设备的供应商、产品和版本。

• 识别插入机器的唯一USB 设备。

• 确定设备插入机器的时间。

• 没有唯一序列号的设备将在序列号的第二个字符中包含“&”。

6.2 First/Last Times

确定连接到 Windows 计算机的特定 USB 设备的临时使用情况。比如，即插即用日志文件

First Time 位置：

XP

C:Windowssetupapi.log

Win7-10

C:Windowsinfsetupapi.dev.log

说明：

• 搜索设备序列号

• 日志文件时间设置为本地时区

Last Time 位置：

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{GUID}

说明：

使用序列号作为标记，可以确定特定 USB 设备上次连接到本地计算机的时间。

6.3 User

查找使用唯一 USB 设备的用户。

位置：

通过SYSTEMMountedDevices 查找GUID

NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2/{GUID}

说明：

接下来根据此 GUID 来识别插入设备的用户。该密钥的上次写入时间也对应于该用户上次将设备插入计算机的时间。该数字将在 NTUSER.DAT 配置单元中MountPoints2键中引用。

6.4 Drive Letter and Volume Name  

当 USB 设备插入机器时，找到 USB 设备的驱动器盘符。

位置：

XP

查找 ParentIdPrefix

SYSTEMCurrentControlSetEnumUSBSTOR

使用 ParentIdPrefix 发现上一次挂载点

SYSTEMMountedDevices

Win7-10

SOFTWAREMicrosoftWindows Portable DevicesYDevices

检查驱动器盘符，查看值数据以查找序列号。

SYSTEMMountedDevices

说明：

识别最后映射到特定驱动器号的 USB 设备。

6.5 Volume Serial Number

发现 USB 上文件系统分区的卷序列号。（注意：这不是 USB 唯一序列号；这是在文件系统最初格式化时创建的。）

位置：

使用卷名称和 USB 唯一序列号进行查找，行中的最后一个整数，将十进制序列号转换为十六进制序列号。

SOFTWAREMicrosoftWindows NTCurrentVersionEMDMgmt

说明：

了解卷序列号和卷名称后，可以将快捷文件 (LNK) 分析和 RecentDocs 键中的数据关联起来。

快捷方式文件(LNK) 包含卷序列号和名称，在大多数情况下，RecentDocs 注册表项将包含通过资源管理器打开“USB 设备”时的卷名称。

6.6 Shortcut (LNK) Files  

快捷方式文件是由 Windows 自动创建的，比如，最近的项目，打开本地和远程数据文件和文档将生成快捷方式文件（.Ink）

位置：

XP

C:Documents and Settings<usemame>Recent

Win 7-10

C:Users<user>AppDataRoamingMicrosoftWindowsRecent
C:Users<user>AppDataRoamingMicrosoftOfficeRecent

说明：

首次打开该文件的日期/时间

• 快捷方式 (LNK) 文件的创建日期

上次打开该文件的日期/时间文件

• 快捷方式 (LNK) 文件的上次修改日期

LNKTarget 文件（内部LNK 文件信息）数据：

• 目标文件的修改时间、访问时间和创建时间

• 卷信息（名称、类型、序列号）

• 网络共享信息

• 原文件位置

• 系统名称

6.7 P&P Event Log

当尝试安装即插即用驱动程序时，该服务将记录 ID 20001 事件。任何支持即插即用的设备都会触发此事件，包括但不限于 USB、防火墙和 PCMCIA 设备。

位置：

%system root%System32winevtlogsYSystem.evtx

说明：

事件 ID 20001：尝试安装即插即用驱动程序

• 时间戳

• 设备信息

• 设备序列号

• 状态（0 = 无错误）

7. 帐户痕迹

7.1 Last Login

列出系统的本地帐户及其安全标识符。

位置：

C:windowssystem32configSAM
SAMDomainsAccountUsers

说明：

注册表项中只会存储最后一次登录时间。

7.2 Success/Fail Logons  

确定哪些帐户已用于尝试登录。

位置：

XP

%system root%System32configSecEvent.evt

Win7-10

%system root%System32winevtlogsSecurity.evtx

说明：

XP/Win7-10

• 事件 ID - 528/4624：登录成功

• 事件 ID - 529/4625 ：登录失败

• 事件 ID - 538/4634 ：注销成功

• 事件 ID - 540/4624 ：网络登录成功（文件共享）

7.3 Last Password Change  

列出最后一次更改特定用户的密码的时间。

位置：

C:windowssystem32configSAM
SAMDomainsAccountUsers

说明：

只有最后一次密码更改时间才会存储在注册表项中。

7.4 Logon Types

除了登录的日期、时间、用户名、主机名和成功/失败状态之外，我们还可以准确确定尝试登录的方式。

位置：

XP

事件ID 528

Win7-10

事件ID 4624  

说明：

登录类型说明

• 2 通过控制台登录

• 3 网络登录

• 4 批量登录

• 5 Windows服务登录

• 7 用于解锁屏幕的凭据

• 8 网络登录发送凭据（明文）

• 9 使用与登录用户不同的凭据

• 10 远程交互式登录 (RDP)

• 11 用于登录的缓存凭据

7.5 RDP

跟踪远程桌面协议登录到目标计算机。

位置：

XP

%system root%System32configSecEvent.evt

Win7-10

%system root%System32winevtlogsSecurity.evtx

说明：

事件日志提供建立连接的远程计算机的主机名和IP 地址。

• 事件 ID 682/4778：会话已连接/重新连接

• 事件 ID 683/4779：会话断开

8. 浏览器痕迹

8.1 History

按日期和时间记录访问的网站。为每个本地用户帐户存储详细信息，记录访问次数（频率）。此外，还跟踪本地系统文件的访问。

Internet Explorer 位置：

XP

%userprofile%Local SettingsHistoryHistory.IE5

Win7-10

%userprofile%AppDataLocalMicrosoftWindowsHistoryHistory.IE5
%userprofile%AppDataLocalMicrosoftWindowsHistoryLowHistory.IE5

Firefox 位置：

XP

%userprofile%Application DataMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

Win7-10

%userprofile%AppDataRoamingMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

8.2 Cache

缓存是可以在本地存储网页组件以加快后续访问速度的地方。

• 为调查人员提供用户在线查看内容的“及时快照”

• 访问过的网站

• 提供用户在给定网站上查看的实际文件

• 缓存文件与特定的本地用户帐户绑定

• 时间戳显示站点首次保存和上次查看的时间。

Internet Explorer 位置：

XP

%userprofile%Local Settings/Temporary Internet FilesContent.IE5

Win7-10

%userprofile%AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5
%userprofile%AppDataLocalMicrosoftWindowsTemporary Internet FilesLowContent.IE5

Firefox 位置：

XP

%userprofile%Local Settings/Application DataMozilla FirefoxProfiles<random text>.defaultCache

Win7-10

%userprofile%AppDataLocalMozilla FirefoxProfiles<random text>.defaultCache

8.3 Cookies

Cookie 可以深入了解访问过哪些网站以及其中可能发生了哪些活动。

Internet Explorer 位置：

XP

%userprofile%Cookies

Win7-10

%userprofile%AppDataRoamingMicrosoftWindowsCookies
%userprofile%AppDataRoamingMicrosoftWindowsCookiesLow

Firefox 位置：

XP

%userprofile%Application DataMozillaFirefoxProfiles<random text>.defaultcookies.sqlite

Win7-10

%userprofile%AppDataRoamingMozillaFirefoxProfiles<random text>.defaultcookies.sqlite

8.4 Flash and Super Cookies  

Flash 应用程序的本地存储对象 (LSO) 或 Flash Cookie 。LSO 允许 Web 应用程序存储，可由同一应用程序（或域）访问的信息。

Internet Explorer 位置：

XP

%APPDATA%MacromediaFlash Player
%APPDATA%MacromediaFlash
%APPDATA%MacromediaFlash Playermacromedia.comsupportflashplayersys

Win7-10

%APPDATA%RoamingMacromediaFlash Player
%APPDATA%RoamingMacromediaFlash Player#SharedObjects<random profile id>
%APPDATA%RoamingMacromediaFlash Playermacromedia.comsupportflashplayersys

说明：

• 访问过的网站

• 用于访问该网站的用户帐户

• cookie 创建和上次访问的时间

8.5 Session Restore  

浏览器内置自动崩溃恢复功能。

Internet Explorer 位置：

XP

%userprofile%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery

Win7-10

%userprofile%/AppData/Local/Microsoft/IntemetExplorer/Recovery

Firefox 位置：

XP

%userprofile%Application DataMozillaFirefoxProfiles<random text>.defaultsessionstore.js

Win7-10

%userprofile%AppDataRoamingMozillaFirefoxProfiles<random text>.defaultsessionstore.js

说明：

在每个选项卡中查看的历史网站

• 会话结束时间

• LastActive 文件夹中.dat 文件的修改时间

• 每个选项卡打开的时间（仅当发生崩溃时）

• Active 文件夹中.dat 文件的创建时间

原文始发于微信公众号（TahirSec）：Windows | 活动痕迹取证总结（二）