Forensic Differences Between Windows 10 and Windows 11 

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

Windows（微软出品）自 1985 年发布以来一直是个人和企业计算的基石。截止 2022 年 3 月，Windows 全球市场份额达 75.7%，是最主流的操作系统。其中 74.82% 设备运行 Windows 10，8.45% 已升级至 Windows 11。微软官方称全球有超过 14 亿台设备运行 Windows 10 或 11（Microsoft, 2022a）。

微软计划至少支持一个版本的 Windows 10 至 2025 年 10 月 14 日。随着 Windows 10 支持周期临近尾声，Windows 11 的部署率将显著提升。对于数字取证分析师来说，理解这两代系统在取证证据和安全特性上的异同变得尤为重要。

推荐 Andrew Rathbun 的一篇好文，详细对比了两代系统，链接如下：

https://www.sans.org/white-papers/windows-10-vs-windows-11-what-has-changed/

取证证据（Forensic Artifacts）

本节梳理了 Windows 10 关键取证证据在 Windows 11 中的保留情况及差异，详见下述分析。

• LNK 文件与 Jump Lists

Shell Link（.LNK）二进制文件格式于 2021 年 6 月有过修订，但未见关键取证变化。Jump Lists（应用相关 .LNK 文件集合）在 Windows 10 与 11 间无本质差异。

• $Recycle_Bin 元数据文件

回收站内的元数据文件（$I30）在两代系统间无明显差异。

• Amcache

Amcache 取证证据在 Windows 10 与 11 中完全一致。

• 注册表配置单元（Registry Hives）

Windows 11 注册表配置单元发生了重大变化，新增或移除了 35,000+ 键和值，相比 Windows 10 变化巨大。目前这些变化尚无直接取证意义，但鉴于变动量大，后续需持续关注。

受影响的注册表配置单元包括：

• BCD-Template
• COMPONENTS
• DEFAULT
• DRIVERS
• ELAM
• NTUSER.dat
• SAM
• SECURITY
• SOFTWARE
• SYSTEM
• UsrClass.dat
• Windows Timeline

Windows Timeline（时间线）功能自 Windows 10 引入，Windows 11 已移除该功能，但其数据库 ActivitiesCache.db 仍然存在。

• Prefetch

Prefetch（.pf）文件在两代系统间无差异。

• 事件日志（Event Logs）

对比分析发现，Windows 11 新增了事件提供程序（Event Providers），并对部分进行了更新或移除。

• Shellbags

Shellbags（用于追踪文件夹导航）在 Windows 10 与 11 中工作机制一致。文件夹创建与导航实验结果完全相同。

• Windows 搜索索引（.ESE）数据库

Windows 搜索索引（Windows.edb）结构未变，但 Windows 11 有显著差异：SystemIndex_PropertyStore 表新增 System_Setting_SettingsEnvironmentID 列，表编号由 #17（Windows 10）变为 #15（Windows 11）。

此外，Windows 11 的 ESE 引擎版本为 9400，Windows 10 为 9180，影响数据库修复兼容性。

• Web 浏览器

Edge Chromium 101.0.1210.53 在两代系统下生成的取证证据一致。

• ShimCache（AppCompatCache）

ShimCache 在 Windows 10 与 11 中表现一致。

• SQLite 数据库

Windows 10 与 11 共享大量 SQLite 数据库，常见于浏览器和系统文件。研究表明这些数据库结构在两代系统间保持一致。

• 目录列表（Directory Listings）

GitHub 项目 https://github.com/AndrewRathbun/VanillaWindowsReference 提供了多版本 Windows 的目录列表。对比 Windows 10 与 11，可见文件和文件夹结构存在差异，对取证研究有参考价值。

Windows 11 安全特性

• Windows 11 强制要求 Trusted Platform Module 2.0（TPM 2.0），实现所有设备的硬件级安全。
• 通过 TPM 2.0 支持安全的无密码访问，结合多因素认证降低凭证被盗风险。
• Hypervisor-Protected Code Integrity (HVCI)：新安装默认启用，利用虚拟化增强内存完整性，防止漏洞利用（exploit）。
• 默认启用 Transport Layer Security 1.3，提升加密协议安全性并减少握手延迟，TLS 1.2 作为兼容选项。
• DNS Over HTTPS：加密 DNS 查询，防止流量被监听或劫持。
• SMB 协议增强：包括 AES-256 加密、SMB over QUIC（适用于不可信网络）、加速签名等，提升文件服务安全。
• Wi-Fi 安全性提升，支持 WPA3 和 Opportunistic Wireless Encryption，增强公共网络防护。

总结

Windows 11 与 Windows 10 在取证证据上有诸多相似之处，但其安全升级和新特性为 DFIR（数字取证与事件响应）专业人员带来新机遇与挑战。微软每年更新，持续研究新证据点和取证影响至关重要。

https://medium.com/@cyberengage.org/forensic-differences-between-windows-10-and-windows-11-be7bc22a2639/