电⼦数据取证技术应⽤--Windows重点取证目录.docVIP

Windows重点取证目录

【实验目的】

1)了解Windows中的重点取证目录

【实验原理】

1)Windows的系统目录，不同的版本默认存放在不同位置。一旦安装完成之后就无法更改。Windows用注册表文件来存储用户的环境信息，以用户目录来存储用户的文件信息。

2)用户目录用于存储用户文件和配置，以此来区分不同用户的使用环境和权限。无论是本地用户还是网络用户，第一次登陆系统，就会为用户生成一个用户目录，以后每当用户登录时，都会加载用户的配置信息。用户注销时，会相应的卸载用户的配置信息。

3)当内存少于系统应用的需求时，系统会生成一个交换文件来暂存内存数据，以释放部分内存来进行应用。

4)休眠文件是另外一个获得内存数据的来源。

5)Windows中打印文件时，会生成假脱机打印文件。

6)Prefetch目录的作用是加快系统启动的进程。

【实验环境】

无操作

【实验步骤】

一、用户目录

1.1最近访问的文档包括用户最近访问的文件。当用户打开一个目录或文件，系统自动就在这个最近访问的文档目录中生成一个这个文档的快捷方式。在开始菜单中，可以通过“最近访问的文档”来查看最近15个打开的文档。在“%SYSTEM%\Users\用户名\AppData\Roaming\Microsoft\Windows\Recent”中，可以看到更多最近打开的文档的快捷方式。即使最近访问的文档