【美亚技术分享】第九期:新一代微软操作系统Win10新功能及取证研究
2015年7月29日,美国微软公司正式发布了新版操作系统Windows10 。该系统是新一代跨平台及设备应用的操作系统,将涵盖PC、平板电脑、手机、Xbox和服务器端,贯彻了“移动为先、云为先”的设计思路,多个平台共用一个应用商店,应用统一更新和购买,它全面提升了数字工作生产力和数字生活体验,将助力个人用户和企业用户实现更伟大的创举。
微软官方宣传,Windows 10是迄今为止最好的Windows操作系统。发布升级后第三天,Windows 10的安装量已经达到了6700万,微软预计两三年后Windows 10的用户将达到10亿。
作为微软全新的操作系统,Windows10承载了太多的期许,我们见到了久违的“开始”菜单,见到了用来取代IE的全新Edge浏览器,也见到了语音助手小娜,更有全新的多任务管理器和一站式Windows应用商店等等,是不是迫不及待想要了解更多呢? 下面就与大家来分享Windows10的各种新特性。
开始菜单:Windows 10相比较于Windows 8来说最大的修正就是重新让开始菜单出现在了屏幕的左下方。不过与传统的开始菜单不同,Windows 10的开始菜单除了保留之前的特性外,还将Windows 8系统的磁贴元素融入到了其中。磁贴界面在原有磁贴概念的基础上进行了大幅度的调整,新的磁贴界面开始支持纵向滚动,并可以利用开始按钮呼出全部应用的菜单。
设备与平台统一:Windows 10将为所有硬件提供一个统一的平台。Windows 10 覆盖所有尺寸和品类的 Windows 设备,所有设备将共享一个应用商店。因为启用了Windows RunTime,用户可以跨平台的在Windows 设备(手机、平板电脑、个人电脑以及Xbox)上运行同一个应用。
虚拟桌面:微软新增了所谓的Multiple Desktops功能。该功能可让用户在同个操作系统下使用多个桌面环境,即用户可以根据自己的需要,在不同桌面环境间进行切换。微软还在“Taskview”模式中增加了应用排列建议选择——即不同的窗口会以某种推荐的排版显示在桌面环境中,点击右侧的加号即可添加一个新的虚拟桌面。
Cortana:Cortana是微软从Windows Phone 8.1开始加入的智能语音助手,现在已经同样被整合到了Windows 10中,并且控制了整个系统的搜索功能。Cortana可以访问你的个人信息,然后将这些信息同步到云端,并且用来执行有用的各种任务,如给朋友发邮件、设置提醒、设置闹钟、检查日历、查看股票行情等,用户既可以通过语音命令操作,也可以输入文本。同时,Cortana的触及范围也涵盖了本地硬盘数据、OneDrive、商业网络文件,并且筛选复合特定条件的结果。
Cortana的数据文件路径:
\Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\AppData\Indexed DB\IndexedDB.edb
\Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\ESEDatabase_CortanaCoreInstance\CortanaCireDb.dat
Xbox:在Windows 10中,微软加入了Xbox应用,在这里,Xbox用户可以通过Windows 10进行更多的扩展体验。包括快速查看玩家的Xbox资料、游戏存档、最近动态与游戏成就。在早期版本中,你可以看到你的游戏积分、最近动态、关注列表与游戏视频片段。
Edge浏览器:Win10将会拥有全新的浏览器Microsoft Edge,设计注重实用和极简主义,渲染引擎被称为EdgeHTML,支持内置Cortana语音功能,内置阅读器、笔记和分享功能。HTML5测试分数高于IE 11.0。
与早期IE浏览器版本(IE6.0~IE9.0)不同的是,微软Edge浏览器采用了与IE10和IE11相同的数据库扩展引擎(Extended Storage Engine, 简称ESE) ,数据存储存在较大差异。
设置文件路径:
\Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\xxxxx\DBStore\spartan.edb
缓存目录:
\Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\AC\#!001\MicrosoftEdge\Cache\
历史浏览信息文件:
\Users\user_name\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Continuum模式:微软在Windows 10中加入了一个名为Continuum的模式,可以在桌面模式和触控模式之间任意切换,而这一切都取决于用户正在使用什么设备。Windows平板电脑将会默认启动触控模式,而PC用户则会启动桌面模式。混合设备的话会根据是否启动外接键盘而选择某种模式。
日历:Windows日历是一个行程表软件,用户可通过它管理行程记录等。
人脉:“人脉”应用是一站式的通讯簿和社交应用,可管理Outlook.com、Hotmail.com、Exchange\Office365、新浪微博、LinkedIn、Google等社交账户。
通知中心:通知中心数据文件是以XML格式存储,其路径为:
\Users\user_name\AppData\Local\Microsoft\Windows\Notifications\appdb.dat
应用商店:Windows应用商店可以使用社交和联络、共享和查看文档、整理照片、收听音乐以及观看影片等内置应用。
应用安装目录:
\Program Files\WindowsApps\
设置文件目录:
\Users\user_name\AppData\Local\Packages\package_name\LocalState\
注册表安装路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
注册表卸载路径:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
OneDrive:OneDrive是微软公司推出的一项云存储服务。可解析共享文件列表及用户操作记录等。
日志文件路径:
%Root%\Users\%User%\AppData\Local\Microsoft\OneDrive\logs
OneNote:OneNote是一种数字笔记本,它为用户提供了一个收集笔记和信息的位置,并提供了强大的搜索功能和易用的共享笔记本。在线模式下,默认将笔记自动保存至微软账户对应的OneDrive网盘,支持同步新旧笔记。
缓存文件存储目录:
\Users\user_name\AppData\Local\Packages\Microsoft.Office.OneNote_xxxx\LocalState\AppData\Local\OneNote\16.0\
Windows 日记本:Windows日记本是一个新的便笺记录实用程序,能用它来记录心情故事,能用它来涂鸦等。
日记本文件路径:
%Root%\Users\%User%\AppData\Local\Microsoft\Journal\Cache\msnb.dat
内置Skype即时通讯工具:Windows 10的消息应用内置Skype支持,可以在短信、Skype等之间切换,进行语音和视频通话等。
登录账户:Windows 10可设置三种账户:电子账户(使用在线应用时需要设置邮箱等信息)、本地账户和儿童账户。
注册表文件:Windows 10注册表与Windows7的结构大体相同。Windows 10增加了一些新的注册表文件:BBI(基于浏览器的界面)、DRIVERS(设备ID、INF文件、压缩包等)、及ELAM(早期推出的反恶意软件)等。
微软云优先、跨设备的新思路,给传统取证带来一定的思路变更,所以对Windows 10操作系统的取证,已经势在必行。目前美亚柏科自主研发的取证分析软件“取证大师”已经率先支持对Windows10系统的取证。 作为微软极力打造的云系统,用户可以方便的将文档、图片等数据同步至云端,而本地磁盘并不会保存相关数据,这将会给取证工作带来很大的麻烦。 针对云取证面临的挑战, 美亚柏科也第一时间支持利用动态仿真取证技术,实现模拟Windows 10的系统及用户环境,可以直接对云端数据进行电子证据的获取。
上图为使用电子数据仿真取证系统对Windows10仿真后的界面,从上图可以看出,我们不仅可以直接查看本地磁盘数据,还可以直接查看云端数据。通过动静结合的取证方式,我们可以全方面的获取系统用户数据,挖掘潜在线索。面对Windows10云系统取证的挑战,我们准备好了,你呢?
【美亚技术分享】推荐列表
1、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选一)
2、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选二)
3、不变与改变——CEIC2015(计算机和企业调查大会)随记