12、Windows系统文件分析:回收站、预取文件与计划任务
Windows系统文件分析:回收站、预取文件与计划任务
1. 事件日志解析与转换
在进行系统分析时,不同Windows版本的事件日志解析存在兼容性问题。在Windows XP分析系统上,无法使用Logparser解析Vista或Windows 7的事件日志,因为Windows XP的事件日志API与Vista/Windows 7的Windows事件日志格式不兼容。同理,在Vista/7分析系统上也不能用Logparser解析Windows XP或2003的日志。
不过,我们可以将Logparser命令的输出转换为CSV格式,这样不仅便于通过Excel查看和分析,还能添加额外的参考列或个人注释。
若要将Windows XP事件日志转换为Windows 7事件日志格式,可以使用Windows 7自带的“wevtutil.exe”工具,具体操作步骤如下:
1. 打开命令提示符。
2. 输入以下命令:
D:\tools>wevtutil epl appevent.evt appevent.evtx /lf:trueAndreas Schuster开发了基于Perl的库和工具集用于解析Windows事件日志,其库的版本为1.08。你可以下载安装该库,也可以使用已集成该库和工具的软件,如Rob Lee开发的SANS调查取证工具包(SIFT)工作站。
2. 回收站机制
2.1 回收站基本原理
Windows系统内置了强大的事件恢复功能,回收站就是用于存放用户通过正常方式(如按