自win10以后,最好用的输入法还得是windows自带的。
中文输入法是Windows中文操作系统中不可或缺的应用程序,除了提供中文编码和输入功能外,还具备用户自定义和自学习的词库功能。这一功能可以将用户常用的字词和句子以特定格式保存为独立的词库文件,从而提升输入效率。这些用户词库文件中包含了大量与用户相关的输入记录,如姓名、地址及谈话内容等关键词,这些信息通常都可以在用户词库中找到。然而,这些关键信息往往在取证过程中被忽视。exe版本程序在评论区获取。
ChsPinyinIH.dat和ChsPinyinUDL.dat
文件目录:
C:Users用户名AppDataRoamingMicrosoftInputMethodChs
f = open("ChsPinyinUDL.dat","rb")
data = f.read()
data = data[9216:]
f.close()
i = 60
n=1
while True:
chunk = n*i
chunk_len = data[chunk+12:chunk+12+48]
hex_chunk_len = ['%02x' % b for b in chunk_len]
print(chunk_len.decode("utf-16"))
n+=1
if chunk>=len(data):
break
读取ChsPinyinUDL.dat内容:
f = open("ChsPinyinIH.dat","rb")
data = f.read()
data = data[5120:]
f.close()
i = 60
n=1
while True:
chunk = n*i
chunk_len = data[chunk:chunk+4]
hex_chunk_len = ['%02x' % b for b in chunk_len]
print(hex_chunk_len[::-1])
unicode_chunk = data[chunk+12:chunk+12+data[chunk]*2]
hex_unicode = ['%02x' % b for b in unicode_chunk]
print(hex_unicode[::-1])
print(unicode_chunk.decode("utf-16"))
n+=1
if chunk>=len(data):
break
本文根据 SecretTeam安全团队文章编写,作者Vipersec。
原文始发于微信公众号(信安王子):win10\win11输入法历史内容取证
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论