Windows 11数字取证新视角

引言

Windows 11虽已发布数年，但企业采用率相对较低。根据我们的全球应急响应团队（GERT）调查统计数据，截至2025年初，Windows 7（已于2020年终止支持）的出现频率仅略低于最新操作系统。大多数系统仍运行Windows 10。

最广泛使用的操作系统发布于十多年前，微软将于2025年10月14日终止对其支持。这意味着在我们提供事件响应服务的组织中，Windows 11系统数量必将增加。因此，我们决定简要概述该操作系统中取证特征的变化。

Windows 11的新特性

Recall功能

Recall功能于2024年5月首次推出，允许计算机记住用户过去几个月在设备上执行的所有操作。其工作原理是每隔几秒对整个显示屏进行截图，本地AI引擎随后在后台分析这些截图，提取所有有用信息并保存到数据库，用于智能搜索。

原始JPEG图像可在%AppData%\Local\CoreAIPlatform.00\UKP\{GUID}\ImageStore\*找到，文件名本身就是截图标识符。

截图元数据存储在标准Exif.Photo.MakerNote（0x927c）标签中，包含大量有趣数据：前景窗口边界、捕获时间戳、窗口标题、窗口标识符以及启动窗口的进程完整路径。

Recall在每用户基础上激活。用户注册表配置单元中的Software\Policies\Microsoft\Windows\WindowsAI\键负责启用和禁用这些截图的保存。

系统使用两个DiskANN向量数据库（SemanticTextStore.sidb和SemanticImageStore.sidb）实现快速搜索，但最值得调查的是标准SQLite数据库：%AppData%\Local\CoreAIPlatform.00\UKP\{GUID}\ukg.db，包含20个表。

更新的标准应用程序

Windows 11中的标准应用程序也经历了更新，记事本、文件资源管理器和命令提示符现在支持多标签模式。值得注意的是，记事本在进程终止后仍保留这些标签的状态。

Windows 11记事本工件的主要目录位于%LOCALAPPDATA%\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\，包含两个子目录：

• TabState：为每个记事本标签存储{GUID}.bin状态文件
• WindowsState：存储应用程序窗口状态信息

Windows 11中熟悉工件的变更

NTFS属性行为变更

Windows 10和Windows 11之间在两个$MFT结构中更改了NTFS属性行为：$STANDARD_INFORMATION和$FILE_NAME。

$STANDARD_INFORMATION属性的行为变更：

程序兼容性助手

程序兼容性助手（PCA）最早随Windows Vista发布，用于运行为旧操作系统版本设计的应用程序。

Windows 11引入了与此功能相关的新文件，位于C:\Windows\appcompat\pca\目录：

• PcaAppLaunchDic.txt：每行包含特定可执行文件最近启动的数据
• PcaGeneralDb0.txt和PcaGeneralDb1.txt：在数据记录期间交替使用

Windows Search

Windows Search是Windows内置的索引和文件搜索机制。从Windows Vista到Windows 10，文件索引存储在可扩展存储引擎（ESE）数据库中：%PROGRAMDATA%\Microsoft\Search\Data\Applications\Windows\Windows.edb。

Windows 11将其存储分解为三个SQLite数据库：

• Windows-gather.db：包含关于索引文件和文件夹的常规信息
• Windows.db：存储索引文件元数据信息
• Windows-usn.db：不包含有用的取证分析信息

Windows 11中的其他小变更

• 完全停止NTLMv1支持
• 移除著名的Windows 10时间线活动工件
• 移除Cortana和Internet Explorer
• Event ID 4624中新增Remote Credential Guard字段
• 扩展对ReFS文件系统的支持

结论

本文简要概述了与取证分析相关的Windows 11工件关键变更，最重要的是PCA的变更和Windows Search机制的修改。建议立即将上述文件纳入您的分类收集工具范围。