痕迹清理 - Windows

一、日志

查看日志 eventvwr

伪造日志 eventcreate

操作日志：

3389登录列表

文件打开日志

文件修改日志

浏览器日志

系统事件

程序安装记录

程序删除记录

程序更新记录

登录日志：

系统安全日志

日志路径：

系统日志 %SystemRoot%System32WinevtLogsSystem.evtx

安全日志 %SystemRoot%System32WinevtLogsSecurity.evtx

应用程序日志 %SystemRoot%System32WinevtLogsApplication.evtx

服务日志：

IIS %SystemDrive%inetpublogsLogFilesW3SVC1

 

二、注册表

AppCompatFlags

BackgroundActivity Moderator (BAM)

MuiCache

RecentApps

RunMRU

ShimCache(AppCompatCache)

注册表键：

HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

 

三、文件

Prefetch：

预读取文件夹，用来存放系统已访问过的文件的预读信息，扩展名为PF。位置在 C:WindowsPrefetch 。

JumpLists：

记录用户最近使用的文档和应用程序，方便用户快速跳转到指定文件，位置在 %APPDATA%MicrosoftWindowsRecent 。

Amcache / RecentFileCache.bcf：

Windows中的使用这两个文件来跟踪具有不同可执行文件的应用程序兼容性问题，它可用于确定可执行文件首次运行的时间和最后修改时间。

在Windows7、Windows Server 2008 R2等系统中，文件保存在 C:WindowsAppCompatProgramsRecentFileCache.bcf ，包含程序的创建时间、上次修改时间、上次访问时间和文件名。

在Windows8、Windows 10、Windows Server2012等系统中，文件保存在 C:WindowsAppCompatProgramsAmcache.hve ，包含文件大小、版本、sha1、二进制文件类型等信息。

 

四、时间轴

Windows时间轴是Windows 10在1803版中引入的一个新特性，会记录访问过的网站、编辑过的文档、运行的程序等，

 

五、彻底删除

多次覆写文件 cipher /w:<path>

格式化某磁盘count次 format D: /P:<count>

 

本文始发于微信公众号（盾山实验室）：痕迹清理 - Windows