Windows恶意程序执行痕迹取证分析指南<\/h1>

一、注册表痕迹分析<\/h2>

1. ShimCache\/AppCompatCache<\/h3>

功能<\/strong>：从Windows XP开始存在，用于识别应用程序兼容性问题，跟踪文件路径、大小和时间信息。<\/p>

注册表位置<\/strong>：<\/p>

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
<\/code><\/pre>
关键信息<\/strong>：<\/p>

Windows 7\/8\/10最多包含1024条记录<\/li>
记录文件路径、大小和LastModifiedTime<\/li>
Windows 7\/8\/10中不存在"上次更新时间"<\/li>
<\/ul>
分析工具<\/strong>：<\/p>

AppCompatCacheParser
AppCompatCacheParser.exe --csv d:\t<\/span>emp -t
<\/span><\/span><\/code><\/pre><\/li>
ShimCacheParser
reg export "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache"<\/span> shimcache.reg
<\/span><\/span>ShimCacheParser.py -o out.csv -r D:\T<\/span>ool\T<\/span>EST\s<\/span>himcache.reg -t
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2. UserAssist<\/h3>
功能<\/strong>：记录GUI应用执行信息，包括名称、路径、执行次数和上次执行时间。<\/p>
注册表位置<\/strong>：<\/p>
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count
<\/code><\/pre>
分析工具<\/strong>：<\/p>

UserAssist_V2_6_0<\/li>
<\/ul>
3. MUICache<\/h3>
功能<\/strong>：记录执行程序的名称和路径（无执行时间信息）。<\/p>
注册表位置<\/strong>：<\/p>

XP\/2000\/2003:
HKCU\/Software\/Microsoft\/Windows\/ShellNoRoam\/MUICache
<\/code><\/pre>
<\/li>
Vista\/7\/2008:
HKCU\/Software\/Classes\/Local Settings\/Software\/Microsoft\/Windows\/Shell\/MuiCache
<\/code><\/pre>
<\/li>
<\/ul>
分析工具<\/strong>：<\/p>

muicache_view<\/li>
<\/ul>
二、文件系统痕迹分析<\/h2>
1. Prefetch（预读取）<\/h3>
功能<\/strong>：加速应用程序启动过程，记录可执行文件相关信息。<\/p>
文件路径<\/strong>：<\/p>
C:\Windows\Prefetch
<\/code><\/pre>
注册表控制<\/strong>：<\/p>
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
<\/code><\/pre>

EnablePrefetcher值：

0 = 已禁用<\/li>
1 = 启用应用程序预读取<\/li>
2 = 启用引导预读取<\/li>
3 = 启用应用程序和引导预读取（默认）<\/li>
<\/ul>
<\/li>
<\/ul>
记录信息<\/strong>：<\/p>

可执行文件名称<\/li>
文件时间戳<\/li>
运行次数<\/li>
上次执行时间<\/li>
Hash值<\/li>
Win7记录128个，Win8-10记录1024个<\/li>
<\/ul>
分析工具<\/strong>：<\/p>

PECmd
PECmd.exe -d "C:\Windows\Prefetch"<\/span> --csv "d:\temp"<\/span> --json d:\t<\/span>emp\j<\/span>son
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
2. Amcache<\/h3>
功能<\/strong>：记录应用程序执行路径、上次执行时间和SHA1值。<\/p>
文件路径<\/strong>：<\/p>
C:\Windows\AppCompat\Programs\Amcache.hve
<\/code><\/pre>
分析工具<\/strong>：<\/p>

AmcacheParse
AmcacheParser.exe -f C:\W<\/span>indows\A<\/span>ppCompat\P<\/span>rograms\A<\/span>mcache.hve --csv d:\t<\/span>emp
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3. Jump Lists<\/h3>
功能<\/strong>：任务栏显示经常使用或最近使用的项目。<\/p>
文件路径<\/strong>：<\/p>
C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
<\/code><\/pre>
分析工具<\/strong>：<\/p>

JumpListExplorer<\/li>
<\/ul>
三、日志分析<\/h2>
1. 安全事件日志（Security Log）<\/h3>
关键事件ID<\/strong>：<\/p>

592：创建一个新进程（Windows Server 2003）<\/li>
4688：创建一个新进程（Windows 7\/Windows Server 2008 R2\/2012及之后）<\/li>
<\/ul>
注意事项<\/strong>：<\/p>

仅在启用"审核进程创建"时记录4688<\/li>
记录进程创建时的命令行信息<\/li>
<\/ul>
2. 系统事件日志（System Log）<\/h3>
关键事件ID<\/strong>：<\/p>

7035：服务控制管理器记录服务启动\/停止<\/li>
7036：记录服务运行\/停止状态<\/li>
<\/ul>
3. 计划任务日志（TaskScheduler）<\/h3>
可能包含可执行文件执行的痕迹。<\/p>
四、Windows 10特有功能<\/h2>
1. RecentApps<\/h3>
注册表位置<\/strong>：<\/p>
HKCU\Software\Microsoft\Windows\Current Version\Search\RecentApps
<\/code><\/pre>
2. BAM\/Background Activity Monitor<\/h3>
引入版本<\/strong>：Windows 10 1709 (Fall Creators update)<\/p>
注册表位置<\/strong>：<\/p>
HKLM\SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
<\/code><\/pre>
3. ActivitiesCache.db<\/h3>
引入版本<\/strong>：Windows 10 1803 (April 2018)<\/p>
文件路径<\/strong>：<\/p>
C:\Users\<profile>\AppData\Local\ConnectedDevicesPlatform\L.<profile>\ActivitiesCache.db
<\/code><\/pre>
五、参考资源<\/h2>

Available Artifacts - Evidence of Program Execution on Windows Systems<\/a><\/li>
Forensic Artifacts: Evidences of Program Execution on Windows Systems<\/a><\/li>
Execute This! Analyzing Malicious Office Documents<\/a><\/li>
Amcache and Shimcache in Forensic Analysis<\/a><\/li>
<\/ol>

Windows恶意程序执行痕迹取证分析指南<\/h1>

一、注册表痕迹分析<\/h2>

二、文件系统痕迹分析<\/h2>

三、日志分析<\/h2>

3. 计划任务日志（TaskScheduler）<\/h3> 可能包含可执行文件执行的痕迹。<\/p>

四、Windows 10特有功能<\/h2>

3. 计划任务日志（TaskScheduler）<\/h3>
可能包含可执行文件执行的痕迹。<\/p>