• Artefakty użytkownika w Windows – historia plików, logi, dane przeglądarki
    Analiza cyfrowa Windows 10 Windows 11

    Artefakty użytkownika w Windows – historia plików, logi, dane przeglądarki

    Marek „Netbe” Lampart Opublikowane w

    Artefakty użytkownika w Windows – historia plików, logi, dane przeglądarki

    Analiza artefaktów użytkownika w systemie Windows jest jednym z kluczowych elementów digital forensics. Pozwala odtworzyć aktywność użytkownika, jego nawyki, odwiedzane strony internetowe, edytowane dokumenty i wykonywane polecenia. Poniżej znajdziesz kompleksowy przewodnik po najważniejszych źródłach informacji, sposobach ich odczytu oraz narzędziach pomocnych w analizie.

    1. Historia plików – co Windows zapisuje

    Windows rejestruje aktywność użytkownika w różnych lokalizacjach systemowych:

    a) Prefetch

    • Lokalizacja: C:\Windows\Prefetch
    • Pliki .pf rejestrują uruchamiane aplikacje, daty ostatniego i poprzednich uruchomień oraz licznik uruchomień.
    • Użyteczne do:
      • ustalenia, kiedy aplikacja była uruchomiona,
      • identyfikacji potencjalnego malware.

    b) Jump Lists

    • Lokalizacja: C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
    • Lista ostatnio otwieranych plików w menu Start lub pasku zadań.
    • Pliki binarne (.automaticDestinations-ms) zawierają informacje o ścieżkach plików i daty ostatniego użycia.
    • Narzędzia: JumpListView, Eric Zimmerman’s Tools.

    c) Recent Files / Quick Access

    • Lokalizacja: C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Recent
    • Skróty do ostatnio otwieranych plików (.lnk) z datą modyfikacji, a czasami ścieżką źródłową.
    • Przydatne do rekonstrukcji historii pracy użytkownika.

     

    Artefakty użytkownika w Windows – historia plików, logi, dane przeglądarki
    Artefakty użytkownika w Windows – historia plików, logi, dane przeglądarki

    2. Rejestr systemowy (Registry) – ślady aktywności

    Windows zapisuje wiele artefaktów w rejestrze:

    Czytaj  Szyfrowanie poczty e-mail za pomocą S/MIME w Windows Server

    a) Run / RunOnce

    • Lokalizacja:
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • Zawiera programy uruchamiane automatycznie przy logowaniu użytkownika lub start systemu.
    • Może ujawnić malware lub skrypty uruchamiane bez wiedzy użytkownika.

    b) UserAssist

    • Lokalizacja: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
    • Zawiera informacje o uruchamianych aplikacjach i liczbie uruchomień.
    • Dane są zakodowane, ale narzędzia typu UserAssistView dekodują je w czytelnym formacie.

    c) MRU Lists (Most Recently Used)

    • Lokalizacja: różne gałęzie w rejestrze, np. HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
    • Zawiera listy ostatnio otwieranych plików w oknach dialogowych Otwórz/Zapisz.
    • Pozwala odtworzyć, jakie pliki były używane przez użytkownika.

    3. Logi systemowe – śledzenie działań użytkownika

    a) Windows Event Logs

    • Lokalizacja: C:\Windows\System32\winevt\Logs
    • Format: .evtx, przegląda się je za pomocą Event Viewer lub narzędzi takich jak LogParser.
    • Najważniejsze dzienniki:
      • Security – logowania, użycie sudo w postaci uprawnień administratora, zmiany kont.
      • Application – błędy, uruchamiane aplikacje, awarie.
      • System – sterowniki, uruchomienia i zamknięcia systemu, zdarzenia sprzętowe.

    b) PowerShell Logging

    • Lokacja i konfiguracja w rejestrze/Group Policy.
    • Loguje komendy PowerShell wykonane przez użytkownika, przydatne do wykrycia skryptów lub malware.

    4. Dane przeglądarki internetowej

    Większość użytkowników korzysta z przeglądarek, które zapisują historię, cookies i cache:

    a) Google Chrome / Edge (Chromium)

    • Lokalizacja: C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default
    • Pliki SQLite:
      • History – odwiedzane strony, czas wizyty, wyszukiwane hasła.
      • Cookies – ciasteczka sesyjne i trwałe, przydatne do śledzenia sesji.
      • Login Data – zapisane loginy i hasła (zaszyfrowane DPAPI, można odczytać w kontekście użytkownika).
      • Downloads – historia pobranych plików.

    b) Mozilla Firefox

    • Lokalizacja: C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile>
    • Pliki SQLite:
      • places.sqlite – historia stron i zakładki.
      • cookies.sqlite – ciasteczka.
      • logins.json – zapisane loginy (zaszyfrowane).

    c) Analiza danych przeglądarek

    • Narzędzia: Browser History Examiner, Eric Zimmerman’s BrowsingHistoryView, sqlite3 do ręcznej analizy baz danych.
    • Możliwe odtworzenie:
      • odwiedzanych stron i czasu wizyt,
      • pobranych plików,
      • sesji logowania i aktywności użytkownika.
    Czytaj  DirectStorage w Windows 11: Przyszłość ładowania gier i wydajności

    5. Artefakty systemowe powiązane z plikami

    a) Recycle Bin

    • Lokalizacja: C:\$Recycle.Bin
    • Zawiera informacje o skasowanych plikach, oryginalnej ścieżce i dacie usunięcia.

    b) Thumbcache / Thumbnails

    • Lokalizacja: C:\Users\<user>\AppData\Local\Microsoft\Windows\Explorer
    • Pliki thumbcache_*.db zawierają miniatury zdjęć, obrazów i dokumentów.
    • Pomocne, gdy oryginalne pliki zostały usunięte.

    c) Linki LNK

    • Skróty .lnk często przechowują informacje o lokalizacji pliku, czasie ostatniego użycia, ścieżce sieciowej.
    • Analiza narzędziami takimi jak LnkParser lub Eric Zimmerman’s LECmd pozwala odtworzyć historię użycia plików.

    6. Dodatkowe ślady aktywności użytkownika

    • RecentDocs w rejestrze – ostatnio otwierane dokumenty dla różnych typów plików.
    • Clipboard history (Windows 10+) – można odzyskać ostatnie kopiowane dane, jeśli włączona historia schowka.
    • Shadow copies / Volume snapshots – pozwalają odtworzyć starsze wersje plików użytkownika.
    • WMI / Scheduled Tasks – sprawdzenie zadań zaplanowanych i aktywności z WMI.

    7. Narzędzia przydatne w analizie artefaktów użytkownika

    Kategoria Narzędzia / Programy
    Analiza rejestru Registry Explorer, RegRipper
    Analiza LNK / JumpLists LECmd, JumpListView
    Historia przeglądarek BrowserHistoryView, sqlite3, ChromeCacheView
    Logi systemowe Event Viewer, LogParser, ELK Stack
    Szybkie skrypty DFIR Eric Zimmerman’s Tools (UserAssistView, LastActivityView)

    8. Podsumowanie

    Artefakty użytkownika w systemie Windows obejmują:

    1. Pliki i ich historię – Prefetch, JumpLists, Recent, Recycle Bin, LNK, Thumbcache.
    2. Logi systemowe – Event Viewer, PowerShell logging, Application, Security, System.
    3. Dane przeglądarki – historia odwiedzanych stron, pobranych plików, ciasteczka, loginy.
    4. Rejestr i MRU – Run, RunOnce, UserAssist, Most Recently Used lists.

    Prawidłowa analiza wymaga połączenia tych źródeł w chronologię zdarzeń i korelację aktywności użytkownika. Narzędzia takie jak Eric Zimmerman’s suite, BrowserHistoryView, Registry Explorer, czy wbudowane narzędzia Windows (Event Viewer, PowerShell, SQLite) pozwalają efektywnie odzyskać ślady działania użytkownika.

     

    Polecane wpisy
    Konfiguracja bezpiecznego kanału SSH z zaawansowanymi opcjami szyfrowania i uwierzytelniania
    Konfiguracja bezpiecznego kanału SSH z zaawansowanymi opcjami szyfrowania i uwierzytelniania

    🔐 Konfiguracja bezpiecznego kanału SSH z zaawansowanymi opcjami szyfrowania i uwierzytelniania W dobie rosnących zagrożeń cybernetycznych, standardowe ustawienia protokołu SSH Czytaj dalej

    Czytaj  Rozwiązywanie problemów z wyświetlaniem obrazu i artefaktami w grach na Windows 11
    Windows 11 w chmurze
    Windows 11 w chmurze

    Windows 11 w chmurze – przyszłość systemów operacyjnych W dobie rosnącej popularności usług chmurowych coraz więcej użytkowników indywidualnych i firm Czytaj dalej

    Powiązane wpisy:

    1. Zaawansowana analiza logów systemowych w Windows i Linux
    2. Kopiowanie pełnej ścieżki do pliku lub folderu w systemach Windows — Ekspercki poradnik
    3. Zmiana klucza Windows — jak to zrobić krok po kroku?
    4. Jak drukować z systemu Windows za pomocą CMD i PowerShell: kompletny przewodnik
    5. Tworzenie i zarządzanie kopią zapasową systemu w Windows 11 – najlepsze praktyki
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również