Windows取证 on 办公AI智能小助手

Windows 11 截图缓存机制与取证分析

Sat, 10 Jan 2026 17:04:09 +0800

Windows 11 中的缓存截图

不久前，我写过关于Windows如何在Shell项中跟踪截图并将内容缓存到特定目录的文章。虽然这篇博文的内容并不算开创性的，但我还是想分享一些关于Windows 11上新“截图工具”的有趣发现。

AI与Windows取证：数字调查的挑战与机遇

Sat, 10 Jan 2026 06:52:10 +0800

AI与Windows取证

数字取证

您已选择0篇帖子。

精选文章

MalBot 9月9日发布

恶意软件二进制分类（IMBT）课程介绍

希望提升您的技能？使用优惠码 MWNEWS10 可享受任何课程9折优惠。

立即报名并享受9折优惠：优惠码 MWNEWS10

Windows内存取证挑战：恶意软件分析与内存取证技术解析

Tue, 09 Dec 2025 11:18:53 +0800

Windows内存取证挑战

文章链接：https://www.youtube.com/watch?v=6JN6iAenEoA

您已选择0个帖子。

选择全部 取消选择

MalBot 发布于 7月14日

恶意软件二进制文件分类入门（IMBT）课程 想提升你的技能吗？使用优惠码 MWNEWS10 可享受任何课程类型的9折优惠。立即报名并节省10%：优惠码 MWNEWS10 注意：此为联盟链接——您的报名将免费帮助支持此平台。

深入解析Windows事件响应中的文件格式元数据宝藏

Thu, 04 Dec 2025 06:13:23 +0800

文件格式

我是微软文件格式的忠实粉丝，主要是因为它们提供了获取海量（通常未被充分发掘和利用）元数据的可能性。任何关注我一段时间或读过我博客的人都知道，我非常喜欢诸如注册表配置单元（以及具有相同结构的非注册表文件）以及LNK文件之类的文件格式。

Windows RDP客户端事件ID 1024：追踪横向移动的关键取证线索

Thu, 04 Dec 2025 03:58:15 +0800

在进行事件响应时，事件日志是一个绝佳的取证证据来源。特别是，在调查基于网络的入侵时，横向移动往往是最难识别的行为之一。

日志文件 Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx 中的事件ID 1024是一个有时会被忽略的事件，它专门与远程桌面中的ActiveX控件相关。

Windows SRUM取证技术：深入解析系统资源使用监控器的挑战与验证

Thu, 04 Dec 2025 02:18:19 +0800

周日趣味挑战：SRUM取证！

本周由David Cowen提出的“周日趣味”挑战主题是SRUM取证。挑战内容如下：

挑战： 鉴于我们许多人都依赖SRUM来完成各种不同的任务，现在正是时候对大家频繁引用的计数器进行一些验证。本次挑战要求你测试并验证以下SRUM收集的指标，并记录它们是否准确捕获了数据，或者是否存在偏差。

Windows 11 截图缓存路径与取证分析

Wed, 03 Dec 2025 12:01:18 +0800

Windows 11 中的缓存截图

以前，我写过关于Windows如何通过shell项跟踪截图，并将内容缓存到特定目录的文章。虽然这篇博客文章不会有什么突破性的发现，但我想分享一些关于Windows 11上新版“截图工具”的有趣发现。

Windows 11数字取证视角下的关键技术与取证变化

Wed, 05 Nov 2025 12:25:23 +0800

Windows 11数字取证视角下的关键技术与取证变化

引言

Windows 11已于几年前发布，但企业采用率相对较低。根据我们全球应急响应团队（GERT）调查的统计数据，直到2025年初，我们发现已于2020年终止支持的Windows 7的出现频率仅略低于最新的操作系统。大多数系统仍在运行Windows 10。

Windows事件响应中的程序执行证据辨析

Sun, 02 Nov 2025 14:35:21 +0800

程序执行：后续探讨

去年11月，我发表了一篇题为《程序执行：ShimCache/AmCache神话》的博客文章，旨在再次集中记录这些工件的含义。我这样做是因为我不断看到“…这些工件说明了程序执行…”的说法反复出现，而这根本是不正确的。

RecentApps注册表键值 - 数字取证分析指南

Sun, 02 Nov 2025 14:13:19 +0800

RecentApps注册表键值 - 数字取证分析

概述

RecentApps注册表键值是Windows操作系统中记录用户最近使用应用程序信息的重要数据源，在数字取证调查中具有关键价值。

浏览器密码提取取证分析：黑客工具痕迹检测指南

Sat, 01 Nov 2025 10:33:31 +0800

每日博客 #813：解决方案星期六 4/19/25

作者：David Cowen

日期：2025年4月19日

分类：每日博客

各位读者大家好，

又一周过去了，但Chris Eng的连胜纪录仍在继续！明天本周挑战即将开始，现在轮到大家决定是否准备好迎接挑战了！

Windows 11 WordWheelQuery 技术解析与取证影响

Fri, 31 Oct 2025 11:48:57 +0800

Windows 11 WordWheelQuery 的技术困境

最近，我的SANS讲师同事Mattia Epifani指出，在Windows 11 23H2中，WordWheelQuery值不再被填充。是时候进行一些测试了！

SRUM取证技术实战分析：Windows系统监控数据验证

Sat, 25 Oct 2025 10:53:21 +0800

SRUMday Funday!

本周由David Cowen提出的Sunday Funday挑战聚焦于SRUM取证。挑战内容如下：

挑战： 鉴于我们中许多人依赖SRUM实现各种用途，现在需要对许多人引用的计数器进行验证。本次挑战将测试并验证以下SRUM收集的指标，记录它们是否准确捕获数据或存在偏差。

RegRipper工具深度解析：Windows注册表取证与事务日志处理

Fri, 24 Oct 2025 18:15:05 +0800

RegRipper

Cyber Triage的优秀团队最近发布了他们的《2025年注册表取证工具指南》，由于我对Windows注册表颇为关注，便饶有兴趣地阅读了这篇文章。该文章写得非常好，为刚接触DF/IR工作和Windows注册表的新手提供了极好的基础知识。

利用LNK文件追踪屏幕截图取证技术

Thu, 23 Oct 2025 20:25:06 +0800

利用LNK文件追踪屏幕截图

在某个历史时刻，微软引入了Snipping Tool（截图工具）。世界为之欢呼，因为一个简单的截图工具被添加到Windows中，使得截取屏幕部分区域比按Print-Screen键然后打开Paint更容易。

深入解析UserAssist：Windows取证中的关键工件与IR应用

Wed, 17 Sep 2025 09:46:08 +0800

引言

作为全球应急响应团队（GERT）成员，我们日常依赖取证工件开展调查，UserAssist是最关键的工件之一。它包含宝贵的执行信息，可帮助追踪敌对活动并检测恶意软件。然而，UserAssist尚未被深入研究，存在数据解释和记录条件等方面的知识空白。本文提供对UserAssist工件的深度分析，阐明其数据表示的模糊性。我们将讨论工件创建和更新的工作流程、UEME_CTLSESSION值结构及其在记录UserAssist数据中的作用，并介绍此前未知的UserAssist数据结构。

深入解析UserAssist：Windows取证中的关键工件结构与应用

Tue, 09 Sep 2025 03:30:16 +0800

UserAssist工件回顾

UserAssist是Windows中用于记录GUI程序执行的知名取证工件，存储以下关键数据：

程序名称：完整程序路径
运行次数：程序执行次数
焦点次数：程序被置为焦点的次数
焦点时间：程序处于焦点状态的总时间
最后执行时间：最后一次执行的时间戳

该工件位于每个NTUSER.DAT注册表配置单元的Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\路径下，包含以GUID命名的子键，其中最重要的两个GUID为：