首页
校园公益
空间广场
AI Bot
价格
企业服务
|
电子取证
申请加入
成员管理
设置
空间主页
 文章
会议室
云文档
任务看板
留言墙
个人中心
帐号设置
任务福利
邀请福利
全部订单
空间
空间升级
空间设置
成员管理
大模型设置
频道管理
数据导入
博客数据迁入
回收站
回收站
管理频道
 |
回收站
空间容量
扩容
4.0 M/7.0 G
0.05638051245893751%
目录
频道首页
【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据
收藏
0
分享
邀请协作
|
内容同步
复制链接
添加协作者
DFIR 最近修改于 2023-06-28 19:43:12

【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据

没有突破的时候,不妨换个方向换个角度去分析问题---【蘇小沐】

【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据1.实验环境(一)便笺数据的存储位置1、搜索软件快速搜索2、运行窗口搜索(二)SQLite可视化管理工具:SQLiteStudio1、数据库连接2、文本便笺的数据位置(三)扩展1、数据恢复2、扩展:便笺数据内容导出总结

1.实验环境

| 系统 | 版本 | | :---------------- | :---------------- | | Windows 11 专业工作站版 | 22H2(22621.1928); | | 便笺 | 4.6.0.0; | | SQLiteStudio | 3.4.4; | | Listary Pro | 6.2.0.41; |

image.png

(一)便笺数据的存储位置

不同系统版本位置、文件会有差异,参考如下。

| 系统版本 | 路径 | 文件 | | :------------------------------------------------ | :--------------------------------------------------------------------------------------------- | :-------------- | | Windows10版本1607(Build 1607)及之后 | C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState | plum.sqlite | | Windows10版本1607(Build 1607)之前、Windows 8、Windows 7 | C:\Users\电脑用户名\AppData\Roaming\Microsoft\Sticky Notes\ | StickyNotes.snt |

1、搜索软件快速搜索

Plum.sqlite文件就是便笺用来存储数据的,.sqlite是一种轻型数据库,用SQLite相关软件就可以操作SQLite数据库。

可以使用Listary或者Everything等搜索软件快速搜索plum.sqlite

image.png

【plum.sqlite路径:C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite

image.png

2、运行窗口搜索

Win+R快捷键进入运行窗口,输入:%LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState

image.png

(二)SQLite可视化管理工具:SQLiteStudio

SQLiteStudio是一个开源、跨平台的 SQLite 可视化管理工具。免费,多语言界面,支持 Linux,Mac 和 Windows。

【SQLiteStudio官方网址:SQLiteStudio

【GitHub网址:Releases · pawelsalawa/sqlitestudio (github.com)

1、数据库连接

【路径:数据库(D)->添加数据库(A)->数据库类型->SQLite文件路径】

选择好SQLite 路径后,填写名称,可点击下方的测试连接,测试成功后就可以打开数据库查看。

image.png

2、文本便笺的数据位置

其中,Note->列->Text,存储了便笺的txt文本内容。

点击查看,在数据列就可以看到对应的"便笺文本笔记内容"。

image.png

在数据中的"表单格式",则可以清楚的看到文本便笺的个数及展开内容,还包括便笺的颜色等设置。

image.png

(三)扩展

1、数据恢复

对于一些个人的便笺数据迁移,建议是把"LocalState"整个文件夹都复制过去,注意如果是替换操作,那本地的便笺数据将会被覆盖,数据无价,请提前做好备份工作。

Windows10版本1607(Build 1607)及之后版本路径:【C:\Users\电脑用户名\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState】

image.png

2、扩展:便笺数据内容导出

便笺自带功能,自行尝试,此处不一一说明。

image.png

总结

还有好多数据无法一一分析,感兴趣的自行探索。

书写片面,纯粹做个记录,有错漏之处欢迎指正。

著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处

| 名称 | 时间 | | :----- | :--------------- | | 开始编辑日期 | 2023 年 06 月 28 日 | | 最后编辑日期 | 2023 年 06 月 28 日 |

内容大纲
批注笔记
【Windows取证篇】Windows便笺数据浅析-取证分析时容易忽略的重要数据
ArticleBot
z
z
z
z
申请加入
主页
文章
会议室
云文档
看板