【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据
没有突破的时候,不妨换个方向换个角度去分析问题—【蘇小沐】
文章目录
1.实验环境
| 系统 | 版本 |
|---|---|
| Windows 11 专业工作站版 | 22H2(22621.1928); |
| 便笺 | 4.6.0.0; |
| SQLiteStudio | 3.4.4; |
| Listary Pro | 6.2.0.41; |
(一)便笺数据的存储位置
不同系统版本位置、文件会有差异,参考如下。
| 系统版本 | 路径 | 文件 |
|---|---|---|
| Windows10版本1607(Build 1607)及之后 | C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState | plum.sqlite |
| Windows10版本1607(Build 1607)之前、Windows 8、Windows 7 | C:\Users\电脑用户名\AppData\Roaming\Microsoft\Sticky Notes\ | StickyNotes.snt |
1、搜索软件快速搜索
Plum.sqlite文件就是便笺用来存储数据的,.sqlite是一种轻型数据库,用SQLite相关软件就可以操作SQLite数据库。
可以使用Listary或者Everything等搜索软件快速搜索plum.sqlite。
【plum.sqlite路径:C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite】
2、运行窗口搜索
Win+R快捷键进入运行窗口,输入:%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState
(二)SQLite可视化管理工具:SQLiteStudio
SQLiteStudio是一个开源、跨平台的 SQLite 可视化管理工具。免费,多语言界面,支持 Linux,Mac 和 Windows。
【SQLiteStudio官方网址:SQLiteStudio】
【GitHub网址:Releases · pawelsalawa/sqlitestudio (github.com)】
1、数据库连接
【路径:数据库(D)->添加数据库(A)->数据库类型->SQLite文件路径】
选择好SQLite 路径后,填写名称,可点击下方的测试连接,测试成功后就可以打开数据库查看。
2、文本便笺的数据位置
其中,Note->列->Text,存储了便笺的txt文本内容。
点击查看,在数据列就可以看到对应的"便笺文本笔记内容"。
在数据中的"表单格式",则可以清楚的看到文本便笺的个数及展开内容,还包括便笺的颜色等设置。
(三)扩展
1、数据恢复
对于一些个人的便笺数据迁移,建议是把"LocalState"整个文件夹都复制过去,注意如果是替换操作,那本地的便笺数据将会被覆盖,数据无价,请提前做好备份工作。
Windows10版本1607(Build 1607)及之后版本路径:【C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState】
2、扩展:便笺数据内容导出
便笺自带功能,自行尝试,此处不一一说明。
总结
还有好多数据无法一一分析,感兴趣的自行探索。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处】
| 名称 | 时间 |
|---|---|
| 开始编辑日期 | 2023 年 06 月 28 日 |
| 最后编辑日期 | 2023 年 06 月 28 日 |