时间线
来源:美亚柏科
编者按2018年4月windows 1803版本正式推出了时间线功能,可以让用户在设备上搜索最长30天前的所有任务,时间线可以显示你之前所开启的应用和文档,让你可以快速拾起之前的工作。这就好像浏览器历史的视觉化,只不过范围扩大到了整个系统。
Windows10时间线提供跨设备甚至跨平台支持。这意味着用户不仅可以在Win10设备之间迁移无阻,甚至只要登录微软账号,便可以在iPhone或安卓手机上继续之前在电脑上的工作。对时间线功能的预研和数据提取,可以实现部分的文件溯源分析功能,刻画出文件的生命曲线。本期美亚柏科技术专家,将为大家打来Win10时间线功能的解析分享。
01如何使用Windows10时间线如何访问时间线
点击Cortana搜索框右侧的“任务视图”按钮便可以打开时间线视图。也可以使用”Windows” + “Tab” 快捷键开启时间线视图。
(图1:”任务视图”按钮位置)
如果任务栏上没有显示任务视图”按钮,那可能是被隐藏了,右击任务栏并选择显示“任务视图”按钮,便可以重新开启该功能。
(图2:显示“任务视图”按钮)
时间线默认的视图是当前任务+今天早些时候的任务历史视图,用户可以通过滑块回到更早的时间历史。一般情况下时间线视图只会展示4天的信息,如果要回看30天内更多的信息,则需要登录微软账号。
(图3:时间线视图)
直接点击某项任务,或者右击打开,即可继续之前的工作。
(图4:打开时间线任务)
通常,时间线会展示每个日期的主要活动缩略图,如果查看更多的文件和应用,可以点击日期后面的链接-“查看所有XX次活动”。如果要返回之前的视图,只需点击“仅查看主要活动”链接。
(图5:左-主要活动缩略图,右-所有活动视图)
想要快速定位任务的话,可以使用搜索功能。
(图7:删除时间线任务)
如何同步电脑间的时间线
时间线是默认开启的,只有用户许可才能同步数据到云端。如果本地电脑数据同步到云端,那么使用相同微软账号登录的PC端便可以看到这些同步的信息。有两种方式可以开启同步功能。
方法一
下拉到时间线底部,“在时间线中查看更多的日期”标题下,点击”登录”按钮登录微软账号。
方法二
转到设置->隐私->活动历时记录,选择”允许Windows将我的活动从此电脑同步到云”。
如何禁用时间线
如果用户不想使用时间线功能,可以转到设置->隐私->活动历时记录,取消“允许Windows从此电脑中收集我的活动”选项。
如果用户想清除时间线内容,需要将所有出现在“显示账户活动”下的账号设置为“关闭”,并点击”清理”按钮。
时间线信息存放在C:Users<user>APPDatalocalConnectedDevicesPlatformL.<user>[|ADD. <字符串>|随机字符串] 目录下的ActivitiesCache.db文件中。使用取证软件加载ActivitiesCache.db,下面是以美亚柏科取证大师为例,从签名可以看出ActivitiesCache.db为sqlite数据库。
ActivitiesCache.db内容分析
ActivitiesCache.db包含7张数据表:Activity、Activity_PackageId、ActiviyAssetCache、ActivityOperation、Appsettings、Manualsequence、Metadata.
其中只有Activity、Activity_PackageId、ActivityOperation三张表记录用户的活动信息。
(1)Activity表
Activity表记录活动的详细信息,包括操作的文档以及关联的应用程序。
其中AppActivityId为活动标识,分为三种格式:
a.类似GUID的字符串;
b.类似GUID的字符串字符标志
c.URL
PackageIdHash字段标识了活动对应的应用,不同的应用具有不同的哈希值。
AcitivityTpye字段表明活动类型。当ActivityType为5时,表明了该活动为打开操作,该操作包括应用、文档、以及URL的打开;当ActivityType为5时,表明该活动为应用交互操作。
Payload字段对应ActivityType,分为两种格式。当ActivityType为5时,Payload记录了活动标题、应用名、文件路径/URL;当ActivityTpye为6时,Payload记录了应用交互的时间。
下面表格为对应的ActivityType和Payload的内容展示:
ActivityType | 5-“打开的应用/文件/URL” | 6-“应用交互” |
Payload | { "displayText":"SQLiteExpertPro.exe", "activationUri":"ms-shellactivity:", "appDisplayName":"SQLiteExpertPro.exe", "backgroundcolor":"black" } | { "type":"UserEngaged", "reportingApp":"ShellActivitymonitor", "activeDurationSeconds":685, "shellcontentDescription":{ "MergedGap":600 }, "userTimezone":"Asia/Shanghai" } |
(表1:ActivityType和Payload内容)
(2)Activity_PackageId表
Activity_PackageId表包含最近30天内执行的应用程序信息,这些信息包括执行程序路径,执行程序名称,以及记录过期时间。
(3)ActivityOperation表
ActivityOperation表与Activity表的内容大致相同,保存了从时间线界面移除的活动记录信息。
(4)ManualSequence表
ManualSequence表记录了数据库中最后一个活动记录的ETAG值。
(5)Metadata表
Metadata表包含了ActivitiesCache.db创建的日期和时间。
7张表格的内容如下图所示:
(图12:时间线数据库表格内容)
对Win10时间线信息进行取证,可以获取用户打开的应用、文档以及网页信息,取证示例结果如下图所示:
(图13:使用取证大师获取Win10时间线信息)
03总结相关阅读
winshark _利用端口镜像功能全网段抓包流量分析(内网)
工具:Wireshark(Windows或Linux),tcpdump(Linux)要求:使用过滤器捕获特定分组;用脚本分析大量流量数据(建议用perl)。内容:Web流量分析清除本
现在针对直通车也是出来了很多的辅助的手段,比如说,直通车助手,这个也是现在使用的比较多的了,那么下面就来给大家介绍一下,直通车助手
如果我们在使用Win10系统(微软原版)的时候,要是没有windows密钥,那么在使用的功能上就会有很多限制,甚至没有个性化来设置Win10系统。
记录在电脑中同时安装java7和java8的过程 1.下载并安装jdk1.7 和jdk1.8百度找资源或者直接官网下载: https://www.oracle.com/tech
用Word观看长篇作品时,我们时常会用到“全屏”这项功能,这项功能可以让我们的屏幕上变得更加单调,只剩下阅读的文字,是一项