深入剖析Windows系统时间线分析
1. Windows系统的时间线数据源
Windows系统中存在众多服务和技术,如注册表、应用程序预取、计划任务、事件日志等,它们不仅维护数据,还记录时间戳以追踪特定事件。例如,Internet信息服务(IIS)Web服务器能以日志形式提供更多带时间戳的事件。客户端应用程序也不例外,像Firefox浏览器的“bookmarks.html”文件(Firefox 3之后,Mozilla改用SQLite数据库存储书签信息),该文件为XML格式,包含书签链接信息,如添加日期和最后修改日期。示例如下:
<DT><H3 ADD_DATE="1200093363" LAST_MODIFIED="1200093398" ID="rdf:#$RS6tu">WFP</H3>由此可见,Windows系统充斥着大量时间线数据源,分析人员需了解可用数据源,掌握访问和利用时间戳信息进行分析的方法。
2. 时间格式
Windows系统以多种格式维护带时间戳的信息,常见格式如下:
| 时间格式 | 描述 | 应用场景 |
| ---- | ---- | ---- |
| 64 - bit FILETIME格式 | 记录自1601年1月1日午夜起的100纳秒间隔数,采用协调世界时(UTC) | 从文件时间到注册表键的最后写入时间,再到注册表系统配置单元中的“ShutdownTime”值 |
| 32 - bit Unix时间格式 | 记录自1970年1月1日午夜起相对于UTC时区的秒
