闲记Windows 取证艺术
是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是可以通过多次操作到心中有数,下面简单举几个列子,仅是一个学习的思路,认识上存在这么个东西,如果有了好奇心,那么可以通过各大网站论坛去扩展学习。
拓展——取证基本流程
【1】确定电脑罪犯【2】收集初步证据【3】获取扣押令【4】风险评估【5】在犯罪现场扣押证据,证据编号并安全锁定【6】将证据文件送往鉴定实验室【7】对证据文件建立两份电子副本,不能改变修改原始磁盘【8】生成镜像的(MD5)检验码【9】维护证据链【10】将原数据文件放在安全场所【11】检查证据文件镜像副本【12】标本鉴定报告【13】向客户提交报告【14】如有需要,作为鉴定证人出法庭作证
1、取证设备及软件
1.1Encase
1.2取证大师
1.3DC4501
1.4winhex
..............
2、操作系统痕迹提取分析
系统安装的时间
可以通过
2.1、cmd提示符输入:systeminfo查看
2.2、注册表提取键值分析 路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\installDate
提取到的十进制键值,转到时间转换网址:http://tool.chinaz.com/Tools/unixtime.aspx获得安装时间年月日时分秒
3、系统用户使用痕迹
3.1、最近访问记录 cmd提示符输入:recent
手动定位完整路径:C:\Users\AnSen\AppData\Roaming\Microsft\Windows\Recent (AnSen当前登录的用户名)
3.2、注册表分析:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDos
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Exce\File MRU
4、运行程序痕迹提取
4.1、为了提升系统性能,在计算机运行程序时把一些prefecth下的*.pf文件存到内存中:C:\Windows\prefetch
4.2、HKFY_SURRFNT_USER\Software\Microsoft\Windows\CUrrentVersion\Explorer\UserAssist
4.3、具备更快的检索功能——Prefetch工具
路径:C:\Windows\Prefetch
Prefetch工具获取Prefetch文件下的程序,直观看到使用过的程序
Prefetch工具下载:http://www.nirsoft.net/utils/win_prefetch_view.html
5、常见的Windows事件
事件保存的位置:C:\windows\system32\winevt\Logs
事件日志当中记录了
用户登录注销
远程访问审计
即插即用设备的使用
系统事件的修改记录
无线网络的接入
.........
用户登录事件
分析移动设备插入拔出
事件日志筛选20001,20003【可以百度了解日志ID号对应的发生事件】
日志分析工具LogParser
下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659
最新文章
- codeblocks16.01 中配置Opencv3 姿势
- [python] defaultdict
- 运维技能大全 | Devops Tools 周期表
- iOS App从点击到启动
- MySQL Troubleshoting:Waiting on query cache mutex 腾讯数据库工程师:幕南风
- jsp无法支持el标签及jstl标签
- iOS监听电话事件
- 将258.369 double值转为内存表示(科学计数法)
- SEO,搜索引擎优化原理方法等整体把握
- webpack2进阶之多文件,DLL,以及webpack-merge
- SSH 面试题集锦
- EBS 客户表结构
- iOS----------时间戳与NSDate
- 使用Kazoo操作ZooKeeper服务治理
- MySQL数据库(一)
- 说说erlang tuple和record结构
- 微信小程序 thirdScriptError sdk uncaught third Error regeneratorRuntime is not defined ReferenceError: regeneratorRuntime is not defined
- 配置Synwrite作为Python的IDE
- 英语词性系列-B01-名词
- NullPointerException-----开发中遇到的空指针异常