## 【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据 没有突破的时候,不妨换个方向换个角度去分析问题---【蘇小沐】 【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据1.实验环境(一)便笺数据的存储位置1、搜索软件快速搜索2、运行窗口搜索(二)SQLite可视化管理工具:SQLiteStudio1、数据库连接2、文本便笺的数据位置(三)扩展1、数据恢复2、扩展:便笺数据内容导出总结 ### 1.实验环境 \| 系统 \| 版本 \| \| --- \| --- \| \| Windows 11 专业工作站版 \| 22H2(22621.1928); \| \| 便笺 \| 4.6.0.0; \| \| SQLiteStudio \| 3.4.4; \| \| Listary Pro \| 6.2.0.41; \| !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxIGd51xPVX9jEcSjlJB6DKOZWRGuoNxkM6MMw0enngTibRSP95ZQ2Fwew/640?wx_fmt=png) (一)便笺数据的存储位置 ------------ 不同系统版本位置、文件会有差异,参考如下。 \| 系统版本 \| 路径 \| 文件 \| \| --- \| --- \| --- \| \| Windows10版本1607(Build 1607)及之后 \| C:\\\\Users\\\\电脑用户名\\\\AppData\\\\Local\\\\Packages\\\\Microsoft.MicrosoftStickyNotes\\_8wekyb3d8bbwe\\\\LocalState \| plum.sqlite \| \| Windows10版本1607(Build 1607)之前、Windows 8、Windows 7 \| C:\\\\Users\\\\电脑用户名\\\\AppData\\\\Roaming\\\\Microsoft\\\\Sticky Notes\\\\ \| StickyNotes.snt \| ### 1、搜索软件快速搜索 \*\*Plum.sqlite文件就是便笺用来存储数据的\*\*,.sqlite是一种轻型数据库,用SQLite相关软件就可以操作SQLite数据库。 可以使用Listary或者Everything等搜索软件快速搜索\`plum.sqlite\`。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxIZvctsIfMsnSEnyibxWr0s0WYAlqwJeewlib4KichJ5evsib1U1TTcX7W9g/640?wx_fmt=png\&tp=png\&wxfrom=5\&wx_lazy=1\&wx_co=1) 【plum.sqlite路径:\`C:\\Users\\电脑用户名\\AppData\\Local\\Packages\\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\\LocalState\\plum.sqlite\`】 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxISicGBWMNQTACn5YXtSScqwr7Exv9uY8SLqBgyA8vmDIfl7IGIz6SpSQ/640?wx_fmt=png\&tp=png\&wxfrom=5\&wx_lazy=1\&wx_co=1) ### 2、运行窗口搜索 Win+R快捷键进入运行窗口,输入:\`%LocalAppData%\\Packages\\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\\LocalState\` !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxIwclbyDecTUXUuTjib7ibqicOYLOCwcm9yKv69TNXAFRmHqa6GvOszWF8Q/640?wx_fmt=png\&tp=png\&wxfrom=5\&wx_lazy=1\&wx_co=1) (二)SQLite可视化管理工具:SQLiteStudio ----------------------------- SQLiteStudio是一个开源、跨平台的 SQLite 可视化管理工具。免费,多语言界面,支持 Linux,Mac 和 Windows。 【SQLiteStudio官方网址:SQLiteStudio】 【GitHub网址:Releases · pawelsalawa/sqlitestudio (github.com)】 ### 1、数据库连接 【路径:数据库(D)-\>添加数据库(A)-\>数据库类型-\>SQLite文件路径】 选择好SQLite 路径后,填写名称,可点击下方的测试连接,测试成功后就可以打开数据库查看。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxI6Ng7EKmrbzf0wgLuWJlk35ZtBpckZRPtZ1JA5G2icnN6SImxWCz9ksg/640?wx_fmt=png) ### 2、文本便笺的数据位置 其中,Note-\>列-\>Text,存储了便笺的txt文本内容。 点击查看,在数据列就可以看到对应的"便笺文本笔记内容"。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxIfRicO0onnRkfa1putPqZYlhe3Q4n9AhO4pHlt1ciaEhibOl4Aw4NFgQWg/640?wx_fmt=png) 在数据中的"表单格式",则可以清楚的看到文本便笺的个数及展开内容,还包括便笺的颜色等设置。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxIiaeXzYLP4M1CdZSvEhI2lUpFST64Op85k5MgayibPFK3SBAFTbcBkrdg/640?wx_fmt=png) (三)扩展 ----- ### 1、数据恢复 对于一些个人的便笺数据迁移,建议是把"LocalState"整个文件夹都复制过去,注意如果是替换操作,那本地的便笺数据将会被覆盖,数据无价,请提前做好备份工作。 Windows10版本1607(Build 1607)及之后版本路径:【C:\\\\Users\\\\电脑用户名\\\\AppData\\\\Local\\\\Packages\\\\Microsoft.MicrosoftStickyNotes\\_8wekyb3d8bbwe\\\\LocalState】 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxIyXSCT7kp79tMoI7x6bSuCs3WXpy1oe2T8JTcU810b65zXefer8wRsg/640?wx_fmt=png) ### 2、扩展:便笺数据内容导出 便笺自带功能,自行尝试,此处不一一说明。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzIkTKf4TNYBDZcYKzzFOxITfmqQYhIXts3JBp5fGicEmYFnRhiaaYUqP6IxeIGiad3jw03GIRPcd7ow/640?wx_fmt=png) 总结 还有好多数据无法一一分析,感兴趣的自行探索。 书写片面,纯粹做个记录,有错漏之处欢迎指正。 【\*\*著作所有权归作者 \\\[蘇小沐\\\] 所有,转载请注明文章出处\*\*】 \| 名称 \| 时间 \| \| --- \| --- \| \| 开始编辑日期 \| 2023 年 06 月 28 日 \| \| 最后编辑日期 \| 2023 年 06 月 28 日 \| 本文转自 ,如有侵权,请联系删除。
