【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据
没有突破的时候,不妨换个方向换个角度去分析问题—【蘇小沐】
【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据1.实验环境(一)便笺数据的存储位置1、搜索软件快速搜索2、运行窗口搜索(二)SQLite可视化管理工具:SQLiteStudio1、数据库连接2、文本便笺的数据位置(三)扩展1、数据恢复2、扩展:便笺数据内容导出总结
1.实验环境
(一)便笺数据的存储位置
不同系统版本位置、文件会有差异,参考如下。
1、搜索软件快速搜索
Plum.sqlite文件就是便笺用来存储数据的,.sqlite是一种轻型数据库,用SQLite相关软件就可以操作SQLite数据库。
可以使用Listary或者Everything等搜索软件快速搜索plum.sqlite。
【plum.sqlite路径:C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite】
2、运行窗口搜索
Win+R快捷键进入运行窗口,输入:%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState
(二)SQLite可视化管理工具:SQLiteStudio
SQLiteStudio是一个开源、跨平台的 SQLite 可视化管理工具。免费,多语言界面,支持 Linux,Mac 和 Windows。
【SQLiteStudio官方网址:SQLiteStudio】
【GitHub网址:Releases · pawelsalawa/sqlitestudio (github.com)】
1、数据库连接
【路径:数据库(D)->添加数据库(A)->数据库类型->SQLite文件路径】
选择好SQLite 路径后,填写名称,可点击下方的测试连接,测试成功后就可以打开数据库查看。
2、文本便笺的数据位置
其中,Note->列->Text,存储了便笺的txt文本内容。
点击查看,在数据列就可以看到对应的"便笺文本笔记内容"。
在数据中的"表单格式",则可以清楚的看到文本便笺的个数及展开内容,还包括便笺的颜色等设置。
(三)扩展
1、数据恢复
对于一些个人的便笺数据迁移,建议是把"LocalState"整个文件夹都复制过去,注意如果是替换操作,那本地的便笺数据将会被覆盖,数据无价,请提前做好备份工作。
Windows10版本1607(Build 1607)及之后版本路径:【C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState】
2、扩展:便笺数据内容导出
便笺自带功能,自行尝试,此处不一一说明。
总结
还有好多数据无法一一分析,感兴趣的自行探索。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处】
本文转自 https://mp.weixin.qq.com/s/apPdo2Xxq7P6Wt0t5oGEfg,如有侵权,请联系删除。