【HTB Academy】Windows 取证

NTFS

• 文件元数据 ：NTFS 为每个文件存储广泛的元数据，包括创建时间、修改时间、访问时间和属性信息（如只读、隐藏或系统文件属性）。分析这些时间戳有助于建立时间线并重建用户活动。
• MFT 条目 ：主文件表（MFT）是 NTFS 的关键组成部分，它存储了卷上所有文件和目录的元数据。检查 MFT 条目可以提供有关文件名、大小、时间戳和数据存储位置的见解。当文件被删除时，它们的 MFT 条目会被标记为可用，但数据可能仍保留在磁盘上，直到被覆盖。
• File Slack and Unallocated Space : NTFS 卷上的未分配空间可能包含已删除文件的残留物或数据碎片。文件松弛是指集群中未使用的部分，可能包含先前文件的数据。数字取证工具可以帮助从这些区域恢复和分析数据。
• 文件签名 : 文件头部和签名即使在文件扩展名被更改或隐藏时，也有助于识别文件类型。这些信息对于重建系统上存在的文件类型至关重要。
• USN 日志 : 更新序列号（USN）日志由 NTFS 维护，用于记录对文件和目录所做的更改。法证调查人员可以分析 USN 日志来追踪文件修改、删除和重命名。
• LNK 文件 : Windows 快捷方式文件（LNK 文件）包含有关目标文件或程序的信息，以及时间戳和元数据。这些文件可以提供有关最近访问的文件或执行的程序的线索。
• 预取文件 : 预取文件由 Windows 生成，以提高应用程序的启动性能。这些文件可以指示哪些程序在系统上运行以及它们最后一次执行的时间。
• 注册表 hive: 虽然与文件系统没有直接关系，但 Windows 注册表 hive 包含重要的配置和系统信息。恶意活动或未经授权的更改会在注册表中留下痕迹，法医调查人员通过分析这些痕迹来了解系统修改情况。
• Shellbags: Shellbags 是存储文件夹视图设置的注册表条目，例如窗口位置和排序偏好。分析 Shellbags 可以揭示用户导航模式，并可能识别访问过的文件夹。
• 缩略图缓存 : 缩略图缓存存储图像和文档的小型预览。这些缓存可以显示最近查看的文件，即使原始文件已被删除。
• 回收站 : 回收站包含从文件系统中删除的文件。分析回收站有助于恢复删除的文件，并提供有关用户操作的见解。
• 替代数据流 (ADS): ADS 是与文件关联的附加数据流。恶意行为者可能会使用 ADS 来隐藏数据，而法证调查人员需要检查这些数据流以确保全面分析。
• 卷影副本 : NTFS 支持卷影副本，这是文件系统在不同时间点的快照。这些副本对于数据恢复和随时间变化的分析非常有价值。
• 安全描述符和 ACL：访问控制列表（ACL）和安全描述符决定了文件和文件夹的权限。分析这些证据有助于了解用户访问权限和潜在的安全漏洞。

Windows事件日志

日志存储的默认文件路径 C:\Windows\System32\winevt\logs 。

执行痕迹

• 预取文件 : Windows 维护一个预取文件夹，其中包含有关各种应用程序执行情况的元数据。预取文件记录了文件路径、执行次数以及应用程序运行的时间戳等信息。分析预取文件可以揭示已执行程序的记录以及它们运行的顺序。
• Shimcache: Shimcache 是 Windows 的一种机制，用于记录程序执行信息以协助兼容性和性能优化。它记录了文件路径、执行时间戳等详细信息，以及指示程序是否被执行的标志。Shimcache 可以帮助调查人员识别最近执行的程序及其相关文件。
• Amcache: Amcache 是 Windows 8 中引入的一个数据库，用于存储已安装应用程序和可执行文件的信息。它包含文件路径、大小、数字签名以及应用程序最后执行的时间戳等详细信息。分析 Amcache 可以提供程序执行历史的洞察，并识别潜在的恶意或未经授权的软件。
• UserAssist: UserAssist 是一个注册表键，用于维护用户执行程序的信息。它记录了应用程序名称、执行次数和时间戳等详细信息。分析 UserAssist 残留物可以揭示已执行应用程序的历史记录和用户活动。
• 运行 MRU 列表 : Windows 注册表中的运行 MRU（最近使用）列表存储了从不同位置（如 Run 和 RunOnce 键）最近执行程序的信息。这些列表可以指示哪些程序被运行、运行时间，并可能揭示用户活动。
• 跳转列表 : 跳转列表存储关于最近访问的文件、文件夹以及特定应用程序相关任务的信息。它们可以提供有关用户活动和最近使用文件的信息。
• 快捷方式 (LNK) 文件 ：快捷方式文件可以包含目标可执行文件、文件路径、时间戳和用户交互信息。分析 LNK 文件可以揭示已执行程序及其运行上下文的详细信息。
• 最近使用的项目 : 最近使用的项目文件夹维护一个最近打开的文件列表。它可以提供有关最近访问的文档和用户活动的信息。
• Windows 事件日志 : 各种 Windows 事件日志，如安全日志、应用程序日志和系统日志，记录与程序执行相关的各种事件，包括进程创建和终止、应用程序崩溃等。

Schtasks
Windows 提供了一个功能，允许程序安排特定任务。这些任务位于 C:\Windows\System32\Tasks，每个任务都保存为一个 XML 文件。该文件详细说明了创建者、任务的定时或触发器，以及要运行的命令或程序的路径。要审查计划任务，我们应该导航到 C:\Windows\System32\Tasks 并检查 XML 文件的内容。

Services
服务在 Windows 中至关重要，它们负责维护系统上的进程，使软件组件能够在后台运行而无需用户干预。恶意行为者经常篡改或制作流氓服务，以确保持久性并保留未经授权的访问权限。需要关注的注册表位置是： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 。

网络浏览器取证

• 浏览历史 : 访问过的网站记录，包括 URL、标题、时间戳和访问频率。
• Cookie: 网站在用户设备上存储的小型数据文件，包含会话详情、偏好设置和身份验证令牌等信息。
• 缓存 : 用户访问过的网页、图片和其他内容的缓存副本。即使清除历史记录，也能揭示访问过的网站。
• 书签/收藏 : 保存的经常访问的网站或感兴趣页面的链接。
• 下载历史 : 下载文件的记录，包括源 URL、文件名和时间戳。
• 自动填充数据 : 自动填入表单中的信息，例如姓名、地址和密码。
• 搜索历史 : 在搜索引擎中输入的查询，包括搜索词和时间戳。
• 会话数据 : 关于活跃浏览会话、标签页和窗口的信息。
• 输入的 URL: 直接输入到地址栏中的 URL。
• 表单数据 : 输入到网页表单中的信息，例如登录凭证和搜索查询。
• Passwords: 保存或自动填充的网站密码。
• Web Storage: 网站用于各种目的的本地存储数据。
• Favicons: 网站相关的小图标，可以揭示访问过的网站。
• Tab Recovery Data: 关于打开的标签页和会话的信息，可以在浏览器崩溃后恢复。
• 扩展和插件 : 已安装的浏览器扩展及其配置。

SRUM

切换到 SRUM（系统资源使用监视器），这是一个在 Windows 8 及后续版本中引入的功能。SRUM 会精确地跟踪资源利用情况和应用程序使用模式。这些数据存储在一个名为 sru.db 的数据库文件中，该文件位于 C:\Windows\System32\sru 目录下。这个 SQLite 格式的数据库允许结构化数据存储和高效的数据检索。SRUM 的记录按时间间隔组织，可以帮助在特定时间段内重建应用程序和资源的使用情况。

• 应用分析 : SRUM 可以提供有关 Windows 系统上已执行的应用程序和进程的全面视图。它记录可执行文件名称、文件路径、时间戳和资源使用指标等详细信息。这些信息对于了解系统上的软件环境、识别潜在的恶意或未经授权的应用程序以及重建用户活动至关重要。
• 资源消耗 ：SRUM 捕获每个应用程序和进程的 CPU 时间、网络使用情况和内存消耗数据。这些数据对于调查资源密集型活动、识别资源消耗的异常模式以及检测由特定应用程序引起的潜在性能问题非常有价值。
• 时间线重建 ：通过分析 SRUM 数据，数字取证专家可以创建应用程序和进程执行、资源使用以及系统活动的时间线。这种时间线重建对于理解事件顺序、识别可疑行为以及建立用户交互和操作的清晰图景至关重要。
• 用户和系统上下文 ：SRUM 数据包含用户标识符，这有助于将活动归因于特定用户。这可以辅助用户行为分析，并确定某些操作是否由合法用户或潜在威胁行为者执行。
• Malware Analysis and Detection : SRUM 数据可用于识别异常或未经授权的应用程序，这些应用程序可能表明存在恶意软件或恶意活动。通过 SRUM 分析可以检测到资源使用量的突然激增、异常应用程序模式或未经授权的软件安装。
• 事件响应 ：在事件响应过程中，SRUM 能够提供对近期应用程序和进程活动的快速洞察，使分析师能够迅速识别潜在威胁并有效应对。