日志

• 查看日志 eventvwr

• 伪造日志 eventcreate

• 操作日志

– 3389 登录列表

– 文件打开日志

– 文件修改日志

– 浏览器日志

– 系统事件

– 程序安装记录

– 程序删除记录

– 程序更新记录

• 登录日志

– 系统安全日志

• 日志路径

– 系统日志 %SystemRoot%\System32\Winevt\Logs\System.evtx

– 安全日志 %SystemRoot%\System32\Winevt\Logs\Security.evtx

– 应用程序日志 %SystemRoot%\System32\Winevt\Logs\Application.evtx

• 服务日志

– IIS %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\

注册表

• AppCompatFlags

• Background Activity Moderator (BAM)

• MuiCache

• RecentApps

• RunMRU

• ShimCache (AppCompatCache)

注册表键

• HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog

文件

Prefetch

预读取文件夹，用来存放系统已访问过的文件的预读信息，扩展名为 PF。位置在 C:\Windows\Prefetch 。

JumpLists

记 录 用 户 最 近 使 用 的 文 档 和 应 用 程 序， 方 便 用 户 快 速 跳 转 到 指 定 文 件， 位 置 在

%APPDATA%\Microsoft\Windows\Recent 。

Amcache / RecentFileCache.bcf

Windows 中的使用这两个文件来跟踪具有不同可执行文件的应用程序兼容性问题，它可用于确定可执行文

件首次运行的时间和最后修改时间。

在 Windows 7、Windows Server 2008 R2 等 系 统 中， 文 件 保 存 在

C:\Windows\AppCompat\Programs\RecentFileCache.bcf ，包含程序的创建时间、上次修改时间、

上次访问时间和文件名。

在 Windows 8、Windows 10、Windows Server 2012 等 系 统 中， 文 件 保 存 在

C:\Windows\AppCompat\Programs\Amcache.hve ，包含文件大小、版本、sha1、二进制文件类型等信

息。

时间轴

Windows 时间轴是 Windows 10 在 1803 版中引入的一个新特性，会记录访问过的网站、编辑过的文档、运

行的程序等，

彻底删除

• 多次覆写文件 cipher /w:<path>

• 格式化某磁盘 count 次 format D: /P:<count>