Windows剪切板取证解析：定位加密数据与解密ActivitiesCache.db实战指南

1. Windows剪切板基础

Windows剪切板是操作系统提供的临时存储区域，用于在不同应用程序之间复制和粘贴文本、图像和其他数据。剪切板内容通常存储在内存中，但Windows系统也会将剪切板数据加密存储在特定位置。

2. 剪切板数据存储位置

2.1 加密存储路径

Windows剪切板内容被加密存储在以下路径：

%LocalAppData%\Packages\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Settings\Clipboard

该文件夹下包含：

• 一个GUID命名的子文件夹（GUID是由数字和字母组成的唯一标识符）
• 一个JSON文件

2.2 JSON文件结构

JSON文件内容示例：

{
  "items": {
    "{773AC540-7E10-41F1-B0EE-22D82BCDD303}": {
      "timestamp": "2023-03-27T22:35:58Z",
      "source": "Local",
      "cloud_id": "8F58ABBE-4C70-EAAB-AD53-3EA484D6C95D"
    }
  }
}

字段说明：

• timestamp: 记录时间
• source: 数据来源（如"Local"表示本地）
• cloud_id: 云标识符

2.3 剪切板数据文件

在GUID子文件夹中包含三个文件：

1. 一个JSON文件
2. 两个Base64编码命名的文件

这些文件内容都经过加密混淆，没有密钥无法直接解密。

3. ActivitiesCache.db取证分析

自Windows 10版本1803起，系统开始使用ActivitiesCache.db记录剪贴板活动。

3.1 数据库位置

ActivitiesCache.db位于：

C:\Users\[用户名]\AppData\Local\ConnectedDevicesPlatform\[随机字符串]\ActivitiesCache.db

3.2 数据库分析工具

需要使用SQLite浏览器工具（如sqlitebrowser）查看数据库内容。

3.3 关键数据表

1. 打开数据库后，选择activityoperation表
2. 对cipboardpayload列进行排序

3.4 数据解密

cipboardpayload列中的数据是剪切板内容，经过Base64编码。可以通过Base64解码获取原始内容。

4. 取证前提条件

要生成ActivitiesCache.db文件，必须满足以下条件：

• 系统为Windows 10 1803或更高版本
• 已启用剪贴板历史记录功能

5. 取证步骤总结

1. 定位剪切板加密存储路径
2. 分析GUID文件夹和JSON文件
3. 检查ActivitiesCache.db数据库
4. 使用SQLite工具查看activityoperation表
5. 对cipboardpayload列数据进行Base64解码
6. 分析解密后的剪切板内容

6. 注意事项

• 取证过程需要管理员权限
• 原始数据可能被加密，需要额外解密步骤
• 不同Windows版本可能有路径或格式差异
• 取证前应创建数据备份，避免修改原始证据