路径信息
火眼取证软件
- 用户痕迹->最近访问的项目 FileType == “文件”看最近使用的文件
- 看修改系统时间时的时间
在分析中选择系统日志进行分析, 在 事件日志->系统 按照时间排序可以看到修改系统时间的日志
条目中有NewTime和OldTime - 远程连接本机的时间
在 远程桌面->远程连接过本机的记录 可以看到 - 连接u盘的记录
- 在 基本信息->USB 设备信息 可以看到. 设备类型”Storage”是存储设备, 服务”USBSTORE”是 USB 存储
- “RDMSF 1000 SCSI Disk Device” 是一个移动硬盘, 服务是”UASPStor”
- 注:sn码即设备序列号
IOS
- HotsCoin 的包名是 com.hots.quantity, 应用数据位于
/AppDomain-com.hots.quantity/Library/WebKit/WebsiteData/ResourceLoadStatistics/.com.hots.quantity.plist保存了应用的一些基本配置信息, 其中AppsFlyerTimePassedSincePrevLaunch为1.701759133051471e+09, 为 UNIX时间戳 - Safari 的搜索记录保存在
/APP-Domain-com.apple.mobilesafari/Libarary/Preferences/com.apple.mobilesafari.plist.
Android
Pixel.zip\Basic\Adlockdown.json. 看MTP序列号MtpNo
背景知识
Bitlocker破解方法
使用Elcomsoft Forensic Disk Decryptor直接获取BitLocker解密密钥
然后在取证软件中使用解密密钥
图片
图片过大可能导致明显的保存耗时
建议以exif信息为准,不要看文件信息的时间
Bundle ID
Bundle ID就是包名,xxx.xxx.xxx
apk 应用数据保存路径:
system/app: 此类应用是系统初始化时候安装完成的, 存放在system/app目录下, 用户无法删除及操作.data/app: 通过 market 下载后安装(无安装界面),或是用户手动安装(adb, packageinstall 等).这类 apk 安装过程系统会备份在data/app目录下,文件名称被修改为base.apk./mnt/asec/: 安装到 sd 卡上的应用, 作用同上.data/data: 应用安装过程, 会在该目录下存在应用的私有数据data/dalvik-cache: 应用安装过程中, 会解析data/app下的安装包中的 dex 文件, 拷贝到data/dalvik-cache, 以备应用运行时使用.mnt/sdcard/Android/data: 存放 apk 的数据文件