在數位鑑識裡,有可能遇到公司想調查離職員工的使用電腦,或是檢警調查嫌犯電腦的操作紀錄等…,我們可以從 C:\Users\[使用者名稱]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations 這個路徑下的檔案做解析,如下圖:
可以從這些檔案解析出該使用者開啟過什麼檔案,時間點是什麼時候,好推測此電腦人為操作的時間流程,而且還可以找到嫌犯可能的犯罪證據,畢竟他開啟過的檔案中,裡面或許有他的犯罪檔案內容,這都值得調查的,我們看看解析後的結果吧!
這是欄位名稱
紅框這一欄 record time 就是最主要的開啟時間資訊,其他時間只是該檔案的(.lnk)資訊內容也是可以做些參考,有興趣的朋友也能自己試看看,你開啟一個檔案後,找個解析 Jumplist 的工具,看看 record time 有沒有符合你剛剛開啟該檔案的時間。
要是對這些鑑識調查系統資訊模組或工具製作有興趣,可以到粉絲團 facebook.com/rexlintechnology 跟我留言或聯絡,不吝嗇給個讚跟追蹤吧!
文章標籤
全站熱搜
