一、日志
查看日志 eventvwr
伪造日志 eventcreate
操作日志:
3389登录列表
文件打开日志
文件修改日志
浏览器日志
系统事件
程序安装记录
程序删除记录
程序更新记录
登录日志:
系统安全日志
日志路径:
系统日志 %SystemRoot%System32WinevtLogsSystem.evtx
安全日志 %SystemRoot%System32WinevtLogsSecurity.evtx
应用程序日志 %SystemRoot%System32WinevtLogsApplication.evtx
服务日志:
IIS %SystemDrive%inetpublogsLogFilesW3SVC1
二、注册表
AppCompatFlags
BackgroundActivity Moderator (BAM)
MuiCache
RecentApps
RunMRU
ShimCache(AppCompatCache)
注册表键:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
三、文件
Prefetch:
预读取文件夹,用来存放系统已访问过的文件的预读信息,扩展名为PF。位置在 C:WindowsPrefetch 。
JumpLists:
记录用户最近使用的文档和应用程序,方便用户快速跳转到指定文件,位置在 %APPDATA%MicrosoftWindowsRecent 。
Amcache / RecentFileCache.bcf:
Windows中的使用这两个文件来跟踪具有不同可执行文件的应用程序兼容性问题,它可用于确定可执行文件首次运行的时间和最后修改时间。
在Windows7、Windows Server 2008 R2等系统中,文件保存在 C:WindowsAppCompatProgramsRecentFileCache.bcf ,包含程序的创建时间、上次修改时间、上次访问时间和文件名。
在Windows8、Windows 10、Windows Server2012等系统中,文件保存在 C:WindowsAppCompatProgramsAmcache.hve ,包含文件大小、版本、sha1、二进制文件类型等信息。
四、时间轴
Windows时间轴是Windows 10在1803版中引入的一个新特性,会记录访问过的网站、编辑过的文档、运行的程序等,
五、彻底删除
多次覆写文件 cipher /w:<path>
格式化某磁盘count次 format D: /P:<count>
本文始发于微信公众号(盾山实验室):痕迹清理 - Windows
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论