Windows数字取证中ActivityCache(活动缓存)
在数字取证中,Windows 系统的 ActivityCache(活动缓存) 是一个关键的取证数据源,记录了用户行为、应用使用记录和系统交互信息。以下是其在取证中的核心作用及技术细节:
1. ActivityCache 的数据来源
Windows 10/11 中,ActivityCache 主要存储在以下位置:
- 数据库路径:
C:\Users\<用户名>\AppData\Local\ConnectedDevicesPlatform\<随机ID>\ActivitiesCache.db - 注册表关联:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications(记录后台应用权限)。
2. 取证中的核心作用
(1) 用户行为时间线重建
- 记录内容:
- 应用程序启动记录(如 Word、浏览器、可疑程序)。
- 文件访问历史(文件名、路径、操作时间)。
- 网页浏览记录(部分浏览器活动可能同步至此)。
- 设备连接事件(USB、蓝牙等外设接入时间)。
- 时间戳精度:
使用 UTC 时间</