一 . 实验目的
- 掌握Windows操作系统中常见痕迹文件的存储机制和结构
- 学习使用专业工具分析系统痕迹文件
- 理解痕迹文件在数字取证中的重要价值
二 . 实验内容
- Thumbnail Database(Thumbs.db)文件分析:读取并显示缩略图数据库中的数据内容
- Prefetch文件分析:读取预读取文件中的系统访问信息
- Index.dat文件分析:分析Internet Explorer的cookie、临时文件和历史记录
三 . 实验仪器及器材
- Windows操作系统:Windows XP
- Windows File Analyzer工具
- 包含图片的文件夹(用于生成Thumbs.db)
- 系统预读取文件(Prefetch文件)
- Internet Explorer浏览器(用于生成Index.dat文件)
四 . 实验要求
- 熟悉Windows痕迹文件的存储位置和生成机制
- 使用Windows File Analyzer工具完成各项痕迹分析
- 详细记录分析过程和结果
- 撰写实验报告,包括分析结果和发现
- 了解痕迹文件在数字取证中的应用价值
五 . 实验步骤及结果
Thumbnail Database分析
新建文件夹,放入图片。
缩略图查看
生成db文件
打开分析工具
结果如上图
Prefetch分析
把物理机的prefetch文件复制到虚拟机桌面
WFA打开该文件
可以看到下图结果分析
Shortcut分析
选择桌面
可以看到快捷方式的文件夹等详细信息
Index.dat分析
头部:文件的开始部分,记录文件总的信息,文件格式版本、大小、子文件夹等。每个index.dat只有一个头部分
条目:文件的其他部分,各种类型的条目结构与数量均不相同。每个条目的前8字节的结构相同,以DWORD字段区分条目类型
回收站分析
Analyze Recycle Bin→下拉列表中选择
前面桌面新建两个文件
拖入回收站后,用WFA进行分析
明显看到我们删除的文件