是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是可以通过多次操作到心中有数,下面简单举几个列子,仅是一个学习的思路,认识上存在这么个东西,如果有了好奇心,那么可以通过各大网站论坛去扩展学习。

拓展——取证基本流程 

【1】确定电脑罪犯【2】收集初步证据【3】获取扣押令【4】风险评估【5】在犯罪现场扣押证据,证据编号并安全锁定【6】将证据文件送往鉴定实验室【7】对证据文件建立两份电子副本,不能改变修改原始磁盘【8】生成镜像的(MD5)检验码【9】维护证据链【10】将原数据文件放在安全场所【11】检查证据文件镜像副本【12】标本鉴定报告【13】向客户提交报告【14】如有需要,作为鉴定证人出法庭作证

1、取证设备及软件

1.1Encase

1.2取证大师

1.3DC4501

1.4winhex

..............

2、操作系统痕迹提取分析

系统安装的时间

可以通过

2.1、cmd提示符输入:systeminfo查看

2.2、注册表提取键值分析  路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\installDate

提取到的十进制键值,转到时间转换网址:http://tool.chinaz.com/Tools/unixtime.aspx获得安装时间年月日时分秒

3、系统用户使用痕迹

3.1、最近访问记录  cmd提示符输入:recent

手动定位完整路径:C:\Users\AnSen\AppData\Roaming\Microsft\Windows\Recent (AnSen当前登录的用户名)

3.2、注册表分析:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDos

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Exce\File MRU

4、运行程序痕迹提取

4.1、为了提升系统性能,在计算机运行程序时把一些prefecth下的*.pf文件存到内存中:C:\Windows\prefetch

4.2、HKFY_SURRFNT_USER\Software\Microsoft\Windows\CUrrentVersion\Explorer\UserAssist

4.3、具备更快的检索功能——Prefetch工具

路径:C:\Windows\Prefetch

Prefetch工具获取Prefetch文件下的程序,直观看到使用过的程序

Prefetch工具下载:http://www.nirsoft.net/utils/win_prefetch_view.html

 5、常见的Windows事件

事件保存的位置:C:\windows\system32\winevt\Logs

事件日志当中记录了

用户登录注销

远程访问审计

即插即用设备的使用

系统事件的修改记录

无线网络的接入

.........

用户登录事件

分析移动设备插入拔出

事件日志筛选20001,20003【可以百度了解日志ID号对应的发生事件】

日志分析工具LogParser

下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=24659

闲记Windows 取证艺术的更多相关文章

  1. windows取证

    工具网站 : http://www.ntsecurity.nu/toolbox/ 命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cl ...

  2. [记]Windows 系统下设置Nodejs NPM全局路径

    Windows下的Nodejs npm路径是appdata,担心安装的node_modules越来越多,导致C盘满,所以参考别人的博文,将node_modules安装的默认目录修改一下. 参考Wind ...

  3. 记Windows下初次使用dev C++进行socket编程过程

    记初次接触socket编程,在devC++使用Winsock进行socket编程的一个过程,通过在devC++创建2个项目分别是server.client程序项目,感受通过socket使client与 ...

  4. 记Windows的一个存在了十多年的bug

    bug Windows有一个bug,持续了十多年,从Windows Visita开始(2007年),一直存在,直到Windows11(2021年)才修复(其实也不叫修复,后面我再具体说),而Windo ...

  5. 闲记 单元格与单元格之间的边 ///字体属性都是font开头,除了颜色属性 ///文本属性都是text开的,除了设置行高。

    这两天一直在做网页没有什么太大的问题,期间也考了一场试,对答案的时候老师讲了一些小知识,因此来记录一下. 单元格与单元格之间的边距(cellspaling) list-type-image可以使用图像 ...

  6. 记-Windows环境下Prometheus+alertmanager+windows_exporter+mtail监控部署

    1.概述 最近因项目需要统计服务的负载情况及机器的负载情况,但是项目里面却没有相关统计而服务所在的机器也没有相关的监控,因为工期原因就选择了相对轻量级的prometheus方案.其中windows_e ...

  7. 记Windows服务器Redis 6379被攻击 被设置主从模式同步项目数据

    在工作中第一次经历被攻击,我是一个前端,同时复负责维护一个已上线的项目,在最近一段时间小程序与后台经常出现这个报错, 搜了下说我的从机是只读模式,不能写入,问了同事得知这个项目是单机模式,根本不存在从 ...

  8. 工控安全入门(六)——逆向角度看Vxworks

    上一篇文章中我们对于固件进行了简单的分析,这一篇我们将会补充一些Vxworks的知识,同时继续升入研究固件内容. 由于涉及到操作系统的内容,建议大家在阅读本篇前有一定操作系统知识的基础,或者是阅读我的 ...

  9. 工控安全入门(五)—— plc逆向初探

    之前我们学习了包括modbus.S7comm.DNP3等等工控领域的常用协议,从这篇开始,我们一步步开始,学习如何逆向真实的plc固件. 用到的固件为https://github.com/ameng9 ...

随机推荐

  1. 重新学习ESP32(零)之环境搭建——转载——windows平台

    原文来自:https://www.makingfun.xyz/2018/09/18/esp32-hello-world/ 前言 前几天看到乐鑫的公众号推送了一篇文章,说是ESP8266最新的SDK风格 ...

  2. Swagger2常用注解和使用方法

    一   引入maven依赖 <!--整合Swagger2--> <dependency> <groupId>com.spring4all</groupId&g ...

  3. php有哪些cms框架

    内容管理系统或CMS是一个用于管理新闻的应用程序,用户可以从后台管理系统发布.编辑和删除文章.HTML 和其他脚本语言不需要操作CMS,尽管使用它们会增加更多优势.无疑php的cms框架是最多的,国内 ...

  4. 2019南昌网络赛 J Distance on the tree 主席树+lca

    题意 给一颗树,每条边有边权,每次询问\(u\)到\(v\)的路径中有多少边的边权小于等于\(k​\) 分析 在树的每个点上建\(1​\)到\(i​\)的权值线段树,查询的时候同时跑\(u,v,lca ...

  5. [笔记]C++下的数组声明

    /* 例子来源于<C++ Primer> */ ]; //prts是含有10个整数类型指针的数组 ]; //错误,没有引用的数组 ]; //指向有10个整型元素数组的指针 ]; //引用有 ...

  6. JavaWeb-SpringBoot(抖音)_二、服务器间通讯

    JavaWeb-SpringBoot(抖音)_一.抖音项目制作 传送门 JavaWeb-SpringBoot(抖音)_二.服务器间通讯 传送门 JavaWeb-SpringBoot(抖音)_三.抖音项 ...

  7. Java_GUI小游戏--FlappyBird 橡树鸟

    本文讲解的是一款来自独立游戏开发者Dong Nguyen所开发的游戏FlappyBird,也叫橡树鸟 四个类代码: package Gary; import java.awt.*; import ja ...

  8. centos调整屏幕亮度

    笔记本安装centos6.5后亮度无法通过键盘快捷键调节,可以通过安装软件来调节. 安装:yum install xgamma 设置亮度:xgamma -gamma n( 0.1 < n < ...

  9. navicat for mysql安装

    搜索一款navicat for mysql然后进行下载. 步骤阅读 2 当我们下载完成之后首先进行数据包的解压,同时可以运行navicat for mysql程序. 破解工具下载:https://pa ...

  10. SRS之监听端口的管理:RTMP

    1. 监听端口管理的入口函数 监听端口的管理入口在 run_master 函数中,如下: int run_master() { ... if ((ret = _srs_server->liste ...