返回
6- 新一代操作系统Win10取证-徐志强

6- 新一代操作系统Win10取证-徐志强

ID:32380117

大小:8.46 MB

页数:38页

时间:2019-02-04

6- 新一代操作系统Win10取证-徐志强_第1页
6- 新一代操作系统Win10取证-徐志强_第2页
6- 新一代操作系统Win10取证-徐志强_第3页
6- 新一代操作系统Win10取证-徐志强_第4页
6- 新一代操作系统Win10取证-徐志强_第5页
资源描述:

《6- 新一代操作系统Win10取证-徐志强》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、电子取证论坛新一代操作系统Win10取证徐志强(HenryTsui)美亚柏科,技术专家委员会(MTEC)首席技术专家美亚柏科,企业电子数据取证事业部总经理中国政法大学,法务会计研究中心特聘研究员江西警察学院,计算机犯罪中心特聘研究员中华全国律师协会信息网络与高新技术专委会特邀委员南昌大学,工程硕士专业学位研究生导师福建省公共网络信息安全协会专家组专家中国刑事警察学院,客座讲师_______________________________________________•美国EnCase认证调查员(EnCE)

2、、EnCase认证讲师•美国ISC2认证电子取证专家(CCFP)•中国电子数据取证调查员(MCE)•美国高科技犯罪调查协会会员(HTCIA)•美国注册舞弊审查师协会会员(ACFE)内容WIN10系统新特性操作系统痕迹取证未来研究工作WINDOWS新特性WIN10版本微软Win10操作系统共有七大版本:Windows10家庭版(Windows10Home)Windows10专业版(Windows10Pro)Windows10企业版(Windows10Enterprise)Windows10教育版

3、(Windows10Education)Windows10移动版(Windows10Mobile)Windows10企业移动版(Windows10MobileEnterprise)Windows10IoTCore(物联网专用版)WINDOWS版本差异类别Windows7Windows8Windows10Windows7简易版Windows7家庭普通版Windows8标准版Windows10家庭版Windows7家庭高级版个人电脑PCWindows7专业版Windows8专业版Windows10专业版W

4、indows7旗舰版Windows8企业版Windows10企业版N/AWindows8学生版Windows10教育版WindowsPhone8.1Windows10移动版移动终端WindowsPhone8.0WindowsRTWindows10企业移动版物联网N/AN/AWindows10IoTCore物联网WINDOWS新特性Cortana个人助理•支持执行各种任务(邮件、提醒、日历、搜索等)WINDOWS新特性WindowsHello•支持指纹、面部、虹膜等多种生物特征进行安全身份验证WINDOWS新

5、特性OneDrive云存储•Win10无缝地与OneDrive整合,让用户使用云存储更加方便快捷。WINDOWS新特性Skype•Win10默认自带Skype链接,用户点击时即可方便下载安装。WINDOWS新特性新一代高效浏览器Edge•支持在网页上书写涂鸦、标注与信息分享等新特性。WINDOWS新特性多任务窗口并排显示•WINDOWS新特性Continuum模式•用于判断用户的2合1设备使用的是笔记本电脑模式还是平板电脑模式,系统会询问用户是否调整到最适合当前模式的输入方式,以便更快速的处理任务。内容W

6、IN10系统新特性操作系统痕迹取证未来研究工作操作系统痕迹1.分区变化Win10在首次安装过程中进行分区格式化时,自动预留500MB的分区空间,用于存储引导程序(Bootloader)。操作系统痕迹2.回收站($Recycle.bin)Win10与Win7/8/8.1的回收站有相似的运作机制,每个删除对象均有一个$R前缀文件和$I前缀文件(包含原始文件的相关信息)。操作系统痕迹2.回收站($Recycle.bin)Win10与Win7/8/8.1中的$I文件结构存在差异。操作系统痕迹2.回收站($Rec

7、ycle.bin)Windows8.1Windows10文件首字节为01文件首字节为02文件路径偏移位置为24文件路径偏移位置为28偏移位置24所在位置为4个未知字节文件路径长度为520字节文件路径长度取决于文件路径长度值操作系统痕迹3.缩略图缓存(Thumbcache)早期的WinXP系统采用thumbs.db存储同一个文件夹中的缩略图数据。Win7开始采用集中式存储,并存储于thumbcache*.db中。Win8/8.1系统既有集中存储的thumbcache*.db,在每个文件夹中也有各自的thumb

8、.db。Win10系统和Win7相同,只有集中存储的thumbcache*.db,然而结果略微不同。操作系统痕迹3.缩略图缓存(Thumbcache)%systemdrive%UsersAppDataLocalMicrosoftWindowsExplorer操作系统痕迹4.OneDrive%systemdrive%UsersAppdataLocalM

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。