实战寻找Windows可执行文件运行证据

Ms08067安全实验室

发布于 2025-02-27 11:18:30

480

文章被收录于专栏：Ms08067安全实验室

文章来源｜MS08067蓝队手册

本文作者：16涡轮风油呔

前言

在Windows系统上可以找到的许多证据，可以重建时间线，展示谁在何时何地运行了哪些应用程序以及如何从中提取有意义的数据。内存取证不在这里的讨论范围，我们主要关注可执行文件运行的的证据

链接文件

链接文件是Windows操作系统中的一种快捷方式文件，用于快速访问指向的文件。它们存储了有关目标文件或文件夹的元数据信息【以及其要执行的操作。考虑是否去掉]。

Windows使用文件夹（C:\U\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent）来存储用户最近访问的文件关联的LNK 文件。对于特定文件名，仅记录最新的打开操作，链接文件都会被最新一次的文件访问记录覆盖。而如果文件本身已被删除，LNK 文件仍然保留在 Recent 目录中。

在Windows资源管理器中查看该目录时，即使在文件夹选项中选择了“显示文件扩展名”，Ink扩展名也不会显示。

然而这些文件完整名称可以通过命令行查看

使这样能看到扩展名，并不能说明这些文件或者文件夹实际存储在磁盘上。所以，需要借助例如：

LECmd这样的工具（https://ericzimmerman.github.）io/这里以afxres.h.lnk文件演示。

在这里我们可以看到文件的绝对路径是C:\temp\users.txt

跳转列表

跳转列表(Jump Lists)由应用软件或者系统创建，作用是方便用户可以直接跳转到最近打开的文件或文件夹，其具有两种类型，AutomaticDestinations和CustomDestinations。

其中AutomaticDestinations是在运行与文件关联的应用程序时自动生成（C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\RecentVAutomaticDestinatio ns，）位置，并以CDF 格式存储;

而CustomDestinations 文件夹同样存储在 Recent 文件夹中，但它们是在用户将文件“固定”到开始菜单或任务栏时创建的。

这两种类型的文件夹都可以显示用户对特定文件或应用程序的交互情况。查看这两个文件夹时，每个应用程序关联的文件都会带有后缀“-ms”和一个AppID。

关于AppID的具体含义这里不详细描述，可自行寻找资料了解。另外已有很多网站整理了大量的 AppID列表。

https://gist.github.com/atilaromero/2146441

https://community.malforensics.com/t/list-of-jump-list-ids/158/1

Jump Lists文件包含有价值的信息，有助于查看特定应用程序曾经交互过的文件及其他相关信息，包括应用程序上次运行的时间以及打开的文件或快捷方式(LNK)。要解析这些信息，可以借助Eric Zimmerman的JLECmd 这样的工具。(https://ericzimmerman.github.io/)。

系统资源监视器

平常我们经常使用任务管理器查看正在运行的应用程序，而任务管理器只显示了系统资源监视器(SRUM)数据库存储数据中的一小部分，该数据库在Windows8中引入，用于跟踪资源使用情况。

该数据库位于C:\Windows\system32\sru\SRUDB.dat

SRUDB.dat是一个可扩展存储引擎(ESE)数据库。在运行过程中，Windows会暂时将这些数据存储在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SRUM\Extensions中，并在关机时写入SRUDB.dat。SRUM包含大量关于用户活动的信息，包括可执行文件的完整路径、前台和后台的CPU时间，以及负责执行的SID。在SRUM中，你可以找到过去30天的应用程序数据。在取证过程中有三个需要重点关注的表: