Windows取证——学习笔记
目录
一、Windows回收站文件夹所在的位置
二、Windows 3389连接存在记录文件
三、Windows用户名溯源方法
四、Windows浏览器记录文件
一、Windows回收站文件夹所在的位置
回收站是一个特殊的文件夹,默认在每个硬盘分区根目录下的RECYCLER文件夹中,而且是隐藏的。当文件删除并移到回收站后,实质上就是把它放到了这个文件夹,仍然占用磁盘的空间。
在Windows系统中一个文件被删除,并不是真的被删除,而是把被删除的文件重命名为$I****.文件放入到该盘的回收站.
注意:
1.每个分区都有一个回收站,系统分区下名为$Recycle.Bin,非系统分区下为$RECYCLE.BIN
2.使用命令行 cd $Recycle.Bin $Recycle.Bin下有由每个系统用户SID命名的文件夹,这些文件夹是不可见的,也不可以用dir /a命令查看,需要手动切换文件夹.
Windows——常用的DOS命令行操作指令(一)_xiaofeng~的博客-CSDN博客_dir 只显示目录
二、Windows 3389连接存在记录文件
- 远程桌面连接下拉地址列表,在注册表“HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default”
- 远程桌面连接主机名和用户名,在注册表“HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\”
- 配置文件“Defalt.rdp”,在文件夹:“C:\Users\用户名\Documents\Default.rdp”
三、Windows用户名溯源方法
-
通过 windows中C:\WINDOWS\system32\config目录下的SAM文件进行查询,参考:Windows取证——CHNTPW工具使用(可更改 Windows 密码)_xiaofeng~的博客-CSDN博客_chntpw怎么用
2.通过用户头像目录进行区别C:\ProgramData\Microsoft\User Account Pictures
补充:Windows隐藏用户的建立与查找
Windows隐藏用户的建立:
net user xiaochuhe$ xiaochuhe /add #建议隐藏用户xiaochuhe 密码也为xiaochuhe
net localgroup administrators xiaochuhe$ /add #将隐藏用户加入管理员用户组里面
net user #查看所有用户
可以发现,net user查看普通用户并没有xiaochuhe这个用户名。
Windows隐藏用户的查找:
net localgroup administrators
四、Windows浏览器记录文件
- IE:C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files
- edge:C:\Users\XXX\AppData\Local\Microsoft\Edge\User Data\Default