Windows取证基础-杨乐.pptxVIP

;盘石软件;目录;操作系统;Windows系统;注册表;注册表;注册表;Win7路径：C:\windows\system32\config\;安全账户管理 安全性设置信息 硬件和系统信息 安装软件信息 缺省信息;注册表;注册表-USB设备信息;Windows事件日志;Windows事件日志;常见事件日志id;文件系统;卷（分区）;卷（分区）;数据层;松弛空间（Slack区域）;Windows文件系统;FAT32;FAT 12/16/32局限;NTFS;NTFS局限;其他文件系统;M：修改时间 A： 访问时间 C： 创建时间 NTFS 本身是支持更新访问时间，在Windows 2000、XP、2003中默认是开启的，Vista之后需要手动开启。;文件特征;常见文件头;一般删除 删除 清空回收站 shift+delete 格式化 高级格式化（快速） 低级格式化 物理损坏;Recycle.bin;XP回收站;Vista/win7回收站;数据恢复;关键词搜索;常见编码;常见中文编码;常见邮件编码;编码;文档/文件的元数据 Document/file Metadata;快捷键文件（.lnk）;在媒体文件中的元数据（exif解析）;缩略图 证据thumbs.db;thumbs.db文件;查找thumbs.db与示例;Vista/win7 中Thumbs取证;Thumbs.db viewer;浏览器取证;浏览器取证-IE;浏览器取证-IE;邮件取证;标准MIME头;邮件取证;通讯协议;即时通讯取证;QQ;QQ;Msg2.0.db vs Msg3.0.db Msg2.0.db：复合文档（2009-2013） Msg3.0.db：加密数据库文件（5.2-6.x）;MSN;飞信;飞信;飞信;