Windows 11 WordWheelQuery 的技术困境
最近,我的SANS讲师同事Mattia Epifani指出,在Windows 11 23H2中,WordWheelQuery值不再被填充。是时候进行一些测试了!
Forensafe有一篇很好的文章描述了这个取证 artifact。
当我在资源管理器中执行简单搜索时,它应该在搜索框中填充一个下拉框;至少在以前的Windows版本中是这样的。这反过来会更新用户NTUSER.DAT配置单元中的WordWheelQuery键。
然而,在这个版本的Windows 11中(或从这个版本开始),搜索基本上是在您输入时进行的,而不是在按Enter键时进行的。因此,看起来它是在查询数据库(可能是Windows搜索索引),以便立即返回结果。由于下拉框不再可用,WordWheelQuery键不再需要被填充。
没有wordwheelquery键!
总的来说,这很遗憾,因为我们在调查中经常使用这个键。它可能仍然在Windows Server中,但我还没有下载副本进行测试。
我搜索了一个字符串作为测试,并查看了搜索索引文件夹;那里没有任何变化,这很遗憾,但很可能数据库正在被查询。
顺便说一下——我还查看了ProcMon,我的字符串出现在TypedPaths中。这可能是因为我从搜索窗口访问了某些内容。
如下所示,您执行搜索的路径和搜索词被记录了下来,但这将取决于您与搜索对话框内文件的交互。
|
|
不幸的是,由于TypedPaths只记录一个时间戳,我们可能无法确定这发生在何时。这可能会在shell项中被跟踪,但这超出了本文的范围!
接下来要研究的是开始菜单,因为它肯定有一些搜索信息!快速检查表明,我需要先查看appdata\local\packages文件夹。下次再说!