@scream
3年前 提问
1个回答
电脑被入侵痕迹怎么提取
007bug
3年前
官方采纳
提取过程如下:
- 系统安装时间(systeminfo)
HKEY_ _LOCAL MACHINESOFTWAREMicrosoftWindowsNTCurrentVersioninstallDate最近访问记录
Recent文件夹分析
CNUsershcjVAppDataRoamingMicosoftWindowsRecent
CNUsersthdjVAppDatalRoamingMicrosofoffice- 注册表分析
HKEY_ CURRENT USERSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
HKEY_ CURRENT_ USERSoftwre:MicosoffOfficel1.NExcelN.File MRU- Windows预读文件
为了提高的系统性能,在计算机运行程序时把一些prefectch 下的*.pf文件装入的内存
C:/windows/prefetch- 注册表中运用程序分析(ROT13加密)
HKEY_ CURRENT. _USERSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist