【取证学习】Windows痕迹分析

. 实验目的

  1. 掌握Windows操作系统中常见痕迹文件的存储机制和结构
  2. 学习使用专业工具分析系统痕迹文件
  3. 理解痕迹文件在数字取证中的重要价值

. 实验内容

  1. Thumbnail Database(Thumbs.db)文件分析:读取并显示缩略图数据库中的数据内容
  2. Prefetch文件分析:读取预读取文件中的系统访问信息
  3. Index.dat文件分析:分析Internet Explorer的cookie、临时文件和历史记录

. 实验仪器及器材

  1. Windows操作系统:Windows XP
  2. Windows File Analyzer工具
  3. 包含图片的文件夹(用于生成Thumbs.db)
  4. 系统预读取文件(Prefetch文件)
  5. Internet Explorer浏览器(用于生成Index.dat文件)

. 实验要求

  1. 熟悉Windows痕迹文件的存储位置和生成机制
  2. 使用Windows File Analyzer工具完成各项痕迹分析
  3. 详细记录分析过程和结果
  4. 撰写实验报告,包括分析结果和发现
  5. 了解痕迹文件在数字取证中的应用价值

. 实验步骤及结果

Thumbnail Database分析

新建文件夹,放入图片。

缩略图查看

生成db文件

打开分析工具

结果如上图

Prefetch分析

把物理机的prefetch文件复制到虚拟机桌面

WFA打开该文件

可以看到下图结果分析

Shortcut分析

选择桌面

可以看到快捷方式的文件夹等详细信息

Index.dat分析

头部:文件的开始部分,记录文件总的信息,文件格式版本、大小、子文件夹等。每个index.dat只有一个头部分

条目:文件的其他部分,各种类型的条目结构与数量均不相同。每个条目的前8字节的结构相同,以DWORD字段区分条目类型

回收站分析

Analyze Recycle Bin→下拉列表中选择

前面桌面新建两个文件

拖入回收站后,用WFA进行分析

明显看到我们删除的文件

相关推荐
Mininglamp_27182 小时前
Claude Code 封禁中国开发者之后:本地 AI 编程工具的替代方案实测
开发语言·人工智能·windows·开源软件·ai-native
贾斯汀frank2 小时前
C# 15 类型系统改进:Union Types
开发语言·windows·c#
YHHLAI4 小时前
Agent 智能体开发实战 · 第四课:完整工具集 —— 打造 AI 编程 Agent 的工具箱
人工智能·windows·microsoft
精神底层7 小时前
Skill——提示词的系统化封装
windows·.net
技术不好的崎鸣同学8 小时前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
2601_9623649711 小时前
告别明文密码:Windows Hello 抗钓鱼双因子认证安全体系科普
windows
问窗13 小时前
Rust实现Windows本地搜索工具
windows·搜索引擎·rust
Roc-xb13 小时前
你似乎已在另一个帐户上设置了 Windows Hello。请将人脸识别从其他帐户删除,然后重试。
windows·人脸识别
HAPPY酷14 小时前
【ROS2】16G 内存笔记本跑 ROS2 仿真?VMware 虚拟机“保姆级”配置指南 (R9 7940HX + RTX 4060)
java·linux·ide·windows·pycharm
夜雪一千1 天前
Python enumerate() 函数完整详解:遍历同时获取索引,告别手动计数
服务器·windows·python