在进行 Windows 取证分析时，假设您知道要查找的内容，看到需要收集的大量数据可能会让人不知所措。如果你不知道你在找什么，整个过程就会变得困难一倍。

在本文中，我们将讨论以下主题：

1. 什么是 Windows 取证分析？
2. 什么是法医文物？
3. 用于 Windows 取证分析的顶级开源工具

什么是 Windows 取证分析？

Windows 取证分析侧重于两件事：

1. Windows操作系统的深入分析。
2. Windows 系统工件分析。

Windows 工件是保存有关由 Windows 用户执行的活动的信息的对象。信息的类型和工件的位置因操作系统而异。 Windows 工件包含在取证分析时收集和分析的敏感信息。

什么是法医文物？

取证文物是具有一定取证价值的取证对象。任何包含某些数据或已发生事件证据的对象，例如日志、注册、配置单元等等。在本节中，我们将介绍一些取证调查员在 Windows 中执行取证分析时寻找的取证工件。

1. 回收站： Windows 回收站包含一些很棒的工件，例如：

• $1包含元数据的文件。您可以在路径C:\$Recycle.Bin\SID*\$Ixxxxxx 下找到该文件
• $R 文件包含已删除文件的内容。该文件可以位于路径C:\$Recycle.Bin\SID*\$Rxxxxxx 下
• 可以使用工具 $1 Parse解析 $1 文件。

2. 浏览器： Web 浏览器包含很多信息，例如：

• 饼干。
• 缓存的网站数据。
• 下载的文件。

3. Windows 错误报告：此功能使用户能够将应用程序故障、内核故障、应用程序无响应和其他特定于应用程序的问题通知 Microsoft。此功能为我们提供了各种工件，例如：

• 程序执行，如果恶意程序在程序执行期间崩溃。
• 您可以在以下位置找到这些工件：

  C:\ProgramData\Microsoft\Windows\WER\ReportArchive
  C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportArchive
  C:\ProgramData\Microsoft\Windows\WER\ReportQueue
  C:\Users\XXX\AppData\Local\Microsoft\Windows\WER\ReportQueue
  

4.远程桌面协议缓存：当使用Windows提供的“mstc”客户端时，可以使用RDP在网络中横向移动。创建的缓存文件包含我们连接到的机器的屏幕部分，并且很少更改。这些缓存文件可以位于以下目录中：

C:\Users\XXX\AppData\Local\Microsoft\Terminal Server Client\Cache

BMC-Tools 等工具可用于提取存储在这些缓存文件中的图像。

5. LNK 文件： .lnk 文件是windows 快捷方式文件。 LNK 文件链接或指向其他文件或可执行文件以便于访问。您可以在这些文件中找到以下信息：

• 目标文件的原始路径。
• 目标文件和 .lnk 文件的时间戳。
• 文件属性，如系统、隐藏等。
• 有关磁盘的详细信息。
• 远程或本地执行。
• 机器的 MAC 地址。

您可以使用Windows LNK 解析库或 LECmd 等工具来解析这些文件的内容。

6. 跳转列表：它们包含有关最近访问的应用程序和文件的信息。此功能是在 Windows 7 中引入的。 Windows 中可以创建两种类型的跳转列表：

• AUTOMATICDESTINATIONS-MS：这些跳转列表是在用户打开文件或应用程序时自动创建的。它们位于路径下：
  C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• CUSTOMDESTINATIONS-MS：这些跳转列表是定制的，并在用户固定文件或应用程序时创建。它们位于目录C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations 下

您可以使用JumpList Explorer 、 JLECmd或Windows JumpList Parser 等工具来解析跳转列表。

7. 预取文件：这些文件包含丰富的信息，例如：

• 应用名称。
• 应用路径。
• 上次执行时间戳。
• 创建时间戳。

这些文件可以位于以下目录： C:\Windows\Prefetch\ 。您可以使用Windows Prefetch Parser 、 WinPrefetchView或PECmd 等工具。

用于 Windows 取证分析的顶级开源工具

在本节中，我们将讨论一些可用于在 Windows 操作系统中进行取证分析的开源工具。

1. Magnet Encrypted Disk Detector：此工具用于检查加密的物理驱动器。该工具支持 PGP、安全启动加密卷、Bitlocker 等。您可以从这里下载。

2. Magnet RAM Capture：该工具用于分析系统的物理内存。你可以在这里下载。

3. Wireshark：这是一个网络分析器工具和捕获工具，用于查看网络中的流量。你可以在这里下载。

4. RAM Capture：顾名思义，这是一个免费工具，用于提取易失性存储器（即RAM）的全部内容。你可以在这里下载。

5. NMAP：这是最流行的工具，用于查找目标机器上的开放端口。使用此工具，您可以找到任何要入侵的目标的漏洞。你可以在这里下载。

6. Network Miner：该工具用作被动网络嗅探器来捕获或检测操作系统端口、会话、主机名等。您可以从这里下载。

7. 尸检：这是基于 GUI 的工具，用于分析硬盘和智能手机。你可以在这里下载。

8. Forensic Investigator：这是一个 Splunk 工具包，用于 HEX 转换、Base64 转换、元扫描查找以及许多其他在取证分析中必不可少的功能。你可以在这里下载。

9. HashMyFiles：该工具用于计算 SHA1 和 MD5 哈希值。它适用于所有最新的网站。你可以在这里下载。

10.人群响应：该工具用于收集事件响应的系统信息。你可以在这里下载。

11. ExifTool：该工具用于从多个文件中读取、写入和编辑元信息。你可以在这里下载。

12. FAW（Forensic Acquisition of Websites）：该工具用于获取网页图像、HTML、网页源代码。该工具可以与 Wireshark 集成。你可以在这里下载。

市场上有各种各样的取证工具。有些是免费和开源的，有些工具收取年费或月费。您只需要确定您的要求并选择最适合您要求的工具。