Windows系统浏览痕迹检验

这次来讲一些计算机取证方面知识，是上课的时候老师讲的，我觉得在实际生活中也有比较大的用途，所以拿到这里再详细梳理一遍，大家都能够有所进步。

一：系统自启动项的管理

工具：Autoruns

可以查看到进程相应的镜像路径和相应注册表所处的位置，这样可以更加方便地查看计算机启动项加以管理，清除顽固启动项

二：重写文件时间属性

工具：NewFileTime

这些时间都是可以随便改的，并不具有权威性

然而今天才十月4号

三：文件的唯一哈希值

文件：hash.exe

能够查看文件唯一的哈希值，看似鸡肋的功能却有大用处

1.在下载完文件后，查看md5值是否与官网相同，如果不同，说明要么是下载出现错误，要么就是被黑客劫持文件，你这会儿下载的是他经过更改后的文件，或者直接就是木马。

2.每次修改完文件后md5值都会发生更改，演讲前自己的文稿或者自己的毕业论文等一定要再三保护好，防止有人恶意更改，保存好这一串md5值，当需要时与最后一次保存时的md5值比对一下，如果相同就说明没有更改。这样就省去一个个字的去看了。

我这里没有发生更改，因为我只更改了文件名称，而更改文件名md5等值是不会发生变化的

四：u盘等设备的使用记录

工具：USBDeview

取证人员可以用它来查看这台电脑上u盘等各种设备的使用记录，最后一次使用时间，第一次使用时间，设备信息等。坏人可以用他来删除记录，销毁证据...

学会计算机取证后至少要知道别人借你电脑后都干了些什么吧.嘻嘻嘻.....

五：查看操作记录

工具：LastActivityView

LastActivityView是一款简洁实用的电脑操作记录查看软件。该软件直接调用系统日志，能显示安装软件、系统启动、关机、网络连接、执行的程序等几乎所有的电脑使用记录发生的时间和路径，让你更加了解自己不在时电脑有没有被人使用过以及电脑使用记录。

你的每一步记录在这里都写的清清楚楚...

六：查看网页浏览痕迹

工具：idsuite

可以自动扫描磁盘中所有index.dat文件，查看其中保存的浏览记录

七：查看邮件头信息

对于我这种小白来说里面有用的信息只有发送者的ip地址，然后可以拿ip定个位置，大神们可以以这个分析出邮件服务器的架构等，里面还有很多有用的信息，只是我不知道其他的有什么用。

---

原来玩电脑，遇见卡了只会一味的抱怨垃圾电脑，随着对计算机的了解越来越深，越发现计算机内部的操作好复杂，是多么的不容易。

计算机取证，博大精深，值得玩玩。