Localappdata microsoft windows explorer

В этой публикации, друзья, рассмотрим, как очистить кэш значков в Windows. Очистка кэша значков может помочь в случаях, когда имеются проблемы с отображением значков в меню «Пуск», проводнике, на панели задач и рабочем столе — когда значки отображаются неправильно (как пустые), либо вовсе отсутствуют. Есть разные способы очистки кэша значков, рассмотрим их. Все способы подходят для любой из актуальных версий Windows.

Итак, друзья, значки в Windows могут отображаться неправильно или не отображаться вообще. Происходит это потому, что для более оперативного отображения значков Windows кэширует их в специальные файлы. Системному интерфейсу не нужно каждый раз извлекать значки из программ и типов файлов, значки для отображения берутся в одном месте хранения файлов их кэша. Благодаря чему мы можем видеть значки в Windows мгновенно.

Однако если кэш значков повреждается, мы сталкиваемся с проблемами их отображения. И чтобы устранить эти проблемы, кэш значков необходимо сбросить, т.е. очистить.

Для сброса кэша значков в Windows можно использовать системную утилиту IE Per-User Initialization Utility. Жмём клавиши Win+R, в командлет «Выполнить» вводим:

ie4uinit.exe -show

Это команда для Windows 10 и 11, для Windows 7 необходимо использовать команду:

ie4uinit.exe -cleariconcache

Очистить кэш значков в Windows можно с помощью системной функции очистки диска. Жмём клавиши Win+R, в командлет «Выполнить» вводим:

Выбираем системный диск C. За очистку кэш значков отвечает предустановленная галочка пункта очистки эскизов. Смотрим, чтобы эта галочка была выставлена. Жмём «Ок».

Картинка с сайта: remontcompa.ru

И подтверждаем выполнение очистки.

Решить поставленную задачу можно с помощью известной бесплатной программы для чистки и оптимизации Windows CCleaner. В числе очищаемых данных эта программа предусматривает кэш значков Windows. Выполняем очистку Windows с помощью CCleaner, для этого в её окне открываем программный раздел «Стандартная очистка». Перед запуском очистки смотрим, какие данные будут удаляться из операционной системы. Отдельно обращаем внимание на вкладку «Windows», здесь по умолчанию в блоке «Проводник» должен быть выбран для очистки кэш эскизов, это, собственно, и есть кэш значков. Далее кликаем внизу «Анализ», а после выполнения анализа данных жмём «Очистка».

Картинка с сайта: remontcompa.ru

Сброс кэша значков Windows предусматривается бесплатной программой-твикерой WinaeroTweaker. В её окне в разделе «Tools» смотрим пункт «Reset Icon Cache». Кликаем в нём кнопку «Reset Icon Cache».

Картинка с сайта: remontcompa.ru

Друзья, предложенные выше способы автоматизированной очистки могут удалять не все файлы кэша значков Windows. В некоторых случаях, когда рассмотренные выше способы не дали положительного результата, может потребоваться решение-максимум в виде ручной очистки кэша значков. При ручной очистке удаляется больше файлов кэша или даже все, и Windows при следующем запуске вынуждена будет пересоздать их заново. Но такое решение-максимум несёт определённые риски, перед его применением необходимо создать точку восстановления или бэкап Windows.

Ручную очистку кэша значков в работающей Windows можно выполнить путём удаления файлов кэша из их папки расположения. Закрываем все лишние окна проводника Windows, оставляем только одно. И в его адресную строку вводим:

%localappdata%\Microsoft\Windows\Explorer

В открывшемся расположении удаляем файлы с фигурированием в названии «iconcache» и «thumbcache» с расширением «.db».

Картинка с сайта: remontcompa.ru

После удаления файлов кэша значков перезагружаем компьютер.

Но, друзья, папка «Explorer» по указанному пути – это системная папка. И, возможно, для столь радикального вмешательства в неё вам потребуется сначала получить полные права на эту папку.

Но и получив такие права, не сможем удалить все файлы кэша значков. Нам это не позволит сделать как минимум активный процесс самого проводника Windows. Если удаление тех файлов, что доступны для удаления, не решило проблему, можно попробовать удалить все файлы кэша значков. Чтобы удалить все файлы кэша значков, необходимо открыть их расположение в среде LiveDisk’а. Или в другой учётной записи с правами администратора, и в качестве таковой можно использовать, например, скрытую учётную запись «Администратор», активировав её на время выполнения нужных действий. Что в среде LiveDisk’а, что в учётной записи «Администратор» в проводнике открываем тот же путь расположения файлов кэша значков Windows, но путь внутри своей учётной записи:

C:\Users\Имя_пользователя\AppData\Local\Microsoft\Windows\Explorer

Чтобы в папке нашей учётной записи отображалась скрытая папка «AppData», необходимо включить отображение скрытых элементов. Смотрим, как это делается в Windows 10 и более ранних версиях операционной системы. В Windows 11 же это делается просто: в меню проводника «Просмотреть» жмём «Показать», затем – «Скрытые элементы».

Картинка с сайта: remontcompa.ru

Удаляем файлы кэша значков, перезагружаем компьютер и входим в свою учётную запись.

Источник

Уровень сложностиСредний

Время на прочтение12 мин

Количество просмотров17K

Всем привет! Меня зовут Сергей Кислухин, я работаю аналитиком 3 линии SOC, и мне есть чем поделиться в области реагирования на компьютерные инциденты на хостах под управлением Windows.

Картинка с сайта: habr.com

Введение

При расследовании инцидентов информационной безопасности на хостах под управлением Windows, специалистам приходится искать свидетельства и доказательства вредоносной активности. В типичной ситуации аналитик сталкивается с физическим диском или его образом, содержащим множество артефактов, которые не всегда легко интерпретировать. Чаще всего работники обращаются к журналам событий системы, однако их может быть недостаточно, особенно если аудит событий не настроен должным образом, а журналы либо удалены, либо сохраняются лишь на короткий срок.

Иногда даже стандартный набор артефактов, изучаемый на различных учебных программах по расследованию инцидентов может не дать полный ответ на вопрос: «Что произошло в системе?». Например, злоумышленник может успеть очистить наиболее популярные артефакты, или данные в процессе сбора или передачи могут повредиться.

Цель этой статьи — предложить наиболее полный список источников информации, которые могут быть полезны для выявления следов вредоносной активности, и, кратко, в виде шпаргалки предложить где их находить и чем анализировать.

Оглавление

Типы артефактов
Артефакты активности в Windows
 Информация о системе (System Information)
 Выполнение команд (Command Execution)
 Выполнение приложений (Application Execution)
 Открытие файлов и папок (File/Folder Opening)
 Удаленные элементы и существование файлов (Deleted Items and File Existence)
 Сетевая активность (Network Activity)
 Использование внешних устройств/USB (External Device/USB Usage)
Выводы

Типы артефактов

Все предложенные далее артефакты можно разделить на 4 группы — источника:

  • Журналы событий безопасности:

    • Имеют расширение .evtx 

    • Хранятся в каталоге %SystemRoot%\System32\winevt\Logs\*

    • Анализ: стандартный %SystemRoot%\System32\eventvwr.msc, Event Log Explorer, SIEM

  • Реестр Windows: 

    • Файлы:

      • %SystemRoot%\System32\Config\* (SOFTWARE, SYSTEM, SAM, …)

      • %UserProfile%\NTUSER.DAT

      • %LocalAppData%\Microsoft\Windows\UsrClass.dat

      • %SystemRoot%\AppCompat\Programs\Amcache.hve

    • Анализ: стандартный %SystemRoot%\regedit.exe, Registry Explorer, RegRipper.

  • Файлы системных утилит, которые используются в работе для получения быстрого доступа к ранее введенным командам или открываемым папкам и файлам.

    • Анализ: В текстовом редакторе или иной специальной утилите.

  • Файлы в которых хранится системная информация (для ускорения работы или журналирования сбоев), изначально не предназначенная для форензики, но которую можно использовать для этих целей.

    • Анализ: специальными утилитами.

При возможности, для каждого артефакта приведены его описание, что он содержит, где находится и название утилиты, с помощью которой его можно проанализировать. Также по минимуму будут указываться источники в виде журналов безопасности, т.к. все равно их смотрят в первую очередь, и подробный разбор всех событий для анализа активности пользователей являются темой для отдельной статьи.

Артефакты активности в Windows

Информация о системе (System Information)

Картинка с сайта: habr.com

Артефакты системной информации содержат базовые параметры, которые будут необходимы для определения ключевых характеристик системы. Особенно полезны при анализе образов дисков без идентификации (например при решении заданий CTF). 

  • Версия ОС и Дата установки:

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion

  • Часовой пояс: 

    • SYSTEM\CurrentControlSet\Control\TimeZoneInformation

  • Имя хоста: 

    • SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName > ComputerName

  • Сетевые интерфейсы: 

    • SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\*

  • Установленные антивирусные программы и их статус:

    • SOFTWARE\Microsoft\Security Center\Provider\Av\*

  • Список установленных патчей и обновлений системы:

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\*

  • Перечень пользователей: 

    • SAM\Domains\Accounts\Users

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%SID%

  • Членство пользователя в группах:

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership

  • Переменные среды пользователя:

    • NTUSER.DAT\Environment > Path

  • Время последнего входа в систему:

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

  • Установленные программы:

    • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*

    • SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*

Выполнение команд (Command Execution)

Главное в поиске вредоносных команд не выйти на самого себя

Картинка с сайта: habr.com

Главное в поиске вредоносных команд не выйти на самого себя

Артефакты, связанные с выполнением команд, помогают установить, какие команды и скрипты запускались в системе. Данные артефакты являются наиболее ценными, т.к. также могут дать информацию о путях к вредоносным приложениям или уже удаленным файлам. 

  • Журналы событий безопасности:

    • Security.evtx -> event_id 4688 — Был создан новый процесс (необходима настройка аудита Windows для вывода команд);

    • Microsoft–Windows–PowerShell/Operational.evtx, Windows PowerShell.evtx;

    • Microsoft-Windows-Shell-Core/Operational.evtx -> event_id 9707 — Выполнение процесса из разделов реестра автозагрузки с указанием командной строки.

  • PowerShell Consolehost History

    • История введенных команд Powershell.

    • Содержит 4096 последних запущенных команд в Powershell (Без временных отметок выполнения команд. Единственная временная метка — время изменения файла = время запуска последней команды). 

    • %AppData%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

  • Профили PowerShell:

    • Скрипт .ps1, выполняющийся при запуске оболочки PowerShell.

    • Файлы:

      • %SystemRoot%\System32\WindowsPowerShell\v1.0\*profile.ps1

      • %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\*profile.ps1

      • %UserProfile%\Documents\*profile.ps1

  • Планировщик заданий Windows:

    • Файлы запланированных задач Windows, выполняющиеся по расписанию или при наступлении определенных событий.

    • Содержат команды и условия, при которых они должны запускаться.

    • %SystemRoot%\Tasks\*, %SystemRoot%\System32\Tasks\*, %SystemRoot%\SysWOW64\Tasks\*

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tree\*, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks\*

    • Журнал Windows-TaskScheduler/Operational.evtx;

  • Хранилище свойств объектов WMI:

    • Подобие планировщика задач, но на основе WMI Event Consumer.

    • Содержат команды и условия, при которых они должны запускаться.

    • %SystemRoot%\System32\WBEM\Repository\OBJECTS.DATA

    • Анализ: python–cim, PyWMIPersistenceFinder.py .

  • Задания BITS:

    • Задачи механизма асинхронной передачи файлов, для удаленных подключений.

    • Содержат очереди из операций с файлами.

    • %AllUsersProfile%\Microsoft\Network\Downloader\*:

      • qmgr.db (или qmgr0.dat и qmgr1.dat) — сами задания;

      • edb.log — журнал транзакций.

    • Анализ: BitsParser.

  • Журналы антивируса:

    • Вредоносные команды могут сохраняться в результате детектирования движком поведенческого анализа.

    • Содержит информацию о зафиксированных вредоносных объектах на хосте.

    • Windows Defender: Журнал Microsoft-Windows-Windows-Defender/Operational.evtx + %ProgramData%\Microsoft\Windows Defender\Scans\History\*

  • Службы:

    • Фоновые приложения, обеспечивающие функциональность операционной системы и запускающиеся без участия пользователя.

    • Содержат путь до исполняемого файла (иногда с командой) и тип его запуска (автоматически или вручную).

    • SYSTEM\CurrentControlSet\Services\* + Журнал System.evtx -> event_id 7034-7045

  • Файлы гибернации, подкачки и аварийные дампы (дампы / части оперативной памяти):

    • Файл гибернации содержит дамп оперативной памяти, созданный при переходе системы в состояние гибернации. В нем могут находиться данные активных или уже завершенных процессов.

    • Файл подкачки служит для временного хранения данных из оперативной памяти, когда ее недостаточно. В нем могут храниться фрагменты памяти, включая данные завершенных процессов, пароли, фрагменты документов и т. д.

    • Файл дампа режима ядра (файл аварийного дампа), сохраняется при возникновении синих экранов смерти. Содержимое варьируется в зависимости от настроек в реестре.

    • Файл гибернации: %SystemDrive%\hiberfil.sys. Файлы подкачки: %SystemDrive%\pagefile.sys+ %SystemDrive%\swapfile.sys. Файлы аварийного дампа:%SystemRoot%\MEMORY.DMP + %SystemRoot%\Minidump.dmp

    • Анализ: Volatility, Strings, PhotoRec, MemProcFS

Выполнение приложений (Application Execution)

Суть артефактов указывающих на выполнение приложений

Картинка с сайта: habr.com

Суть артефактов указывающих на выполнение приложений

Артефакты выполнения приложений помогают в восстановлении последовательности действий на компьютере, определении подозрительных или нежелательных программ, а также позволяют выявить изменения в системе, связанные с их запуском.

  • AppCompatCache / ShimCache:

    • Механизм совместимости приложений Windows, который содержит список исполняемых файлов, запущенных в системе.

    • Содержит полные пути к файлам и  временные метки последнего изменения файла (по одинаковому времени можно искать переименования и перемещения файлов).

    • SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache > AppCompatCache

    • Анализ: appcompatprocessor, AppCompatCacheParser.

  • Amcache:

    • Реестровый файл Windows, который содержит информацию о всех исполняемых файлах на хосте.

    • Содержит полный путь к файлу, время первого запуска файла, размер файла, хэш SHA-1 файла, информацию о программном обеспечении.

    • %SystemRoot%\AppCompat\Programs\Amcache.hve

    • Анализ: AmcacheParser, appcompatprocessor.

  • Windows JumpLists:

    • Функция панели задач Windows, которая позволяет пользователям просматривать список недавно использованных элементов.

    • Содержит время первого запуска приложения, путь к приложению, а также хосты, к которым осуществляется доступ через RDP.

    • %AppData%\Microsoft\Windows\Recent\AutomaticDestinations\* + %AppData%\Microsoft\Windows\Recent\CustomDestinations\*

    • Анализ: JLECmd, JumpList Explorer.

  • Prefetch:

    • Функция Windows, которая ускоряет загрузку приложений путем кэширования данных о приложениях, которые часто используются.

    • Содержит информацию о файлах и директориях, которые загружаются приложением при запуске, и временные метки для этих файлов.

    • %SystemRoot%\Prefetch\(имя_файла)-(хэш_пути).pf

    • Анализ: PECmd, WinPrefetchView, TZWorks Prefetch Parser.

  • UserAssist

    • Функция Windows, которая отслеживает, какие приложения с графическим интерфейсом запускает пользователь, и сколько раз они были запущены.

    • Содержит информацию о запускаемых приложениях и времени последнего запуска.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\*

  • RunMRU (Most Recently Used):

    • Команды, введенные в диалоговом окне `Выполнить` (Run).

    • Может указывать на запуск программы или скрипта на устройстве.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU\*

  • RecentApps:

    • Последние приложения, открытые пользователем через меню «Пуск» или через Task Switcher (например, с помощью комбинации клавиш Alt+Tab).

    • Содержит приложения, которые были запущены недавно.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\*

  • SRUM (Монитор использования системных ресурсов):

    • Функция Windows используемая для мониторинга производительности системы.

    • Содержит путь к файлу, время запуска и количество переданных и загруженных байт.

    • %SystemRoot%\System32\SRU\SRUDB.dat

    • Анализ: SrumECmd, srum-dump, Диспетчер задач\Журнал приложений (частичный просмотр).

  • Windows 10 Timeline:

    • Временная шкала (функционал Представления задач), открываемая через сочетание клавиш Win+Tab

    • Содержат пути к файлам и время их запуска.

    • %LocalAppdata%\ConnectedDevicesPlatform\%Account-ID%\ActivitiesCache.db

    • Анализ: DB Browser for SQLite, WxTCmd.

  • Background Activity Moderator (BAM):

    • Отслеживает и контролирует активность приложений в фоновом режиме, для оптимизации производительности системы и управления использованием ресурсов.

    • Содержит информацию о приложениях, которые были запущены, времени их запуска и пути к исполняемому файлу.

    • SYSTEM\CurrentControlSet\Services\bam\state\UserSettings\{USER_SID} + SYSTEM\CurrentControlSet\Services\bam\UserSettings\{USER_SID}

  • Windows Error Reporting:

    • Компонент Windows, который позволяет пользователям отправлять отчеты о сбоях в Microsoft. Предоставление артефактов, указывающих на выполнение программы, если вредоносная программа дает сбой во время своего выполнения.

    • Содержит пути к приложениям, загруженные модули, SHA1-хэш и метаданные приложения.

    • %ProgramData%\Microsoft\Windows\WER\* + %LocalAppdata%\Microsoft\Windows\WER\* + Журнал Application.evtx -> 1001 (Отчеты об ошибках).

    • Особенности: Можно посмотреть в `Панель управления\Система и безопасность\Центр безопасности и обслуживания\Монитор стабильности системы`.

  • FeatureUsage:

    • Реестр использования приложений на панели задач.

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\AppBadgeUpdated\*

  • Image File Execution Options (IFEO):

    • Запуск приложения под отладчиком, который указывается в реестре.

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\* + SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

  • Windows Push Notification Services

    • Системные уведомления от приложений

    • Содержит имя приложения и содержимое уведомления, в котором могут быть чувствительные данные

    • %LocalAppdata%\Microsoft\Windows\Notifications\wpndatabase.db + %LocalAppdata%\Microsoft\Windows\Notifications\wpndatabase.db‑wal

    • Анализ: Notifications.sql, walitean

  • Места закрепления в реестре:

    • Хоть и не являются отдельным артефактом, но упомянуть стоит, т.к. наличие вредоноса в хоть в одном из них, также будет свидетельствовать о вредоносной активности на хосте.

    • Их много, и более подробно места их нахождения и способы анализа описывал в своей предыдущей статье.

Открытие файлов и папок (File/Folder Opening)

Картинка с сайта: habr.com

Артефакты открытия файлов и папок могут указать, какие файлы открывались, редактировались или сохранялись. Это полезно для установления факта работы с определенными документами, анализа работы с конфиденциальной информацией и поиска следов удаленных подключений.

  • LNK-файлы (ярлыки):

    • Автоматически создаются операционной системой Windows, когда пользователь открывает локальный или удаленный файл.

    • Содержит путь к файлу, и временные метки как самого файла LNK, так и файла, на который он указывает.

    • %AppData%\Microsoft\Windows\Recent\* + %AppData%\Microsoft\Office\Recent\*

    • Анализ: LECmd.

  • LastVisitedMRU, OpenSaveMRU, BagMRU, RecentDocs, TypedPaths, Mapped network drive

    • Пути к папкам и файлам из разных источников: к которым обращались приложения, открыты или сохранены через диалоговые окна `Открыть файл` и `Сохранить файл`, настроены отображения в проводнике, открыты или введены вручную через проводник, подключенные сетевые диски.

    • Файлы:

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\*

      • SOFTWARE\Microsoft\Windows\Shell\Bags\* + UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\Bags\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths\*

      • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU

  • MS Word Reading Location

    • NTUSER.DAT\SOFTWARE\Microsoft\Office\*\Word\Reading Locations\*

  • Удаленно подключенные диски

    • NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*

  • Общие ресурсы не по умолчанию:

    • SYSTEM\CurrentControlSet\LanmanServer\Shares

Удаленные элементы и существование файлов (Deleted Items and File Existence)

Картинка с сайта: habr.com

Эти артефакты позволяют восстановить информацию о существовавших на системе файлах, даже если они были удалены или изменены. Они помогают восстановить историю файловой активности, идентифицировать удаленные файлы и доказать факт их существования в прошлом.

  • MFT:

    • Файл содержащий информацию о каждом файле и каталоге на NTFS-томе.

    • Содержит информацию о файле или каталоге, включая его атрибуты, такие как время создания, время последнего изменения, время последнего доступа и т.д.

    • Метафайл $MFT в корне тома (видим и выгружается через KAPE, FTK Imager, и т.д.)

    • Анализ: MFTExplorer, MFTECmd, analyzeMFT.

  • USN Journal:

    • Отслеживает изменения каждого тома (высокоуровневые записи операций, выполняемых в файловой системе).

    • Содержит недавние записи для каждого изменения, внесенного в данные на томе: когда файлы были созданы, переименованы (в том числе перемещены), изменены.

    • $Extend\$UsnJrnl в корне тома.

    • Анализ: MFTEcmd.

  • Recycle.Bin (Корзина):

    • Содержит файлы, перед которыми стоят $I и $R и к которым добавляется расширение исходного файла. $I файл содержит информацию об удаленном файле (размер, путь и время удаления), а $R файл содержит полное содержимое этого удаленного файла.

    • %SystemDrive%\$Recycle.Bin\{USER_SID}

    • Анализ: RBCmd.

  • Windows Search database:

    • Хранит индексированные данные всех файлов, папок и другого контента на компьютере.

    • Содержит временные метки доступа к файлам, путь и местоположение файлов, содержимое файлов, если они были проиндексированы.

    • %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb

    • Анализ: ESEDatabaseView.

  • IconCache.db / Thumbcache:

    • Миниатюрные изображения файлов на компьютере.

    • Содержат JPG, BMP и PNG-файлы в различных размерах пикселей. Каждая миниатюра хранит уникальный идентификационный номер для каждого связанного эскиза из ThumbnailcacheID.

    • %LocalAppdata%/Microsoft/Windows/Explorer/thumbcache_*.db

  • Теневая копия:

    • Разностные резервные копии файлов во время работы ОС.

    • С:\System Volume Information.

    • Анализ: ShadowCopyView.

Сетевая активность (Network Activity)

Картинка с сайта: habr.com

Артефакты сетевой активности полезны для расследования сетевой активности, анализа взаимодействий с внешними ресурсами и выявления возможных каналов команд и управления. Они могут показать, с какими сетями и ресурсами взаимодействовала система, что важно для выявления атак.

  • Сети, к которым подключался компьютер:

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList

  • Правила Брандмауэра Windows:

    • SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\*

  • SRUM (упоминался ранее) — содержит количество переданных и принятых байт из сети приложением.

  • Браузеры:

    • Хранит истории посещения веб-страниц, cookies, загрузки, кеш страниц и данные онлайн-форм.

    • Данные хранятся базах данных SQLite в папке профиля пользователя:

      • Firefox: %Appdata%\Mozilla\Firefox\Profiles\*

      • Chromium: %LocalAppdata%\Google\Chrome\User Data\%PROFILE%

    • История открытия некоторых видов файлов: %LocalAppdata%/Microsoft/Windows/WebCache/WebCacheV*.dat

    • Анализ: BrowsingHistoryView, ChromeCacheView, IE10Analyzer.

  • Certutil History:

    • Кэш загруженных файлов, который содержит ценные метаданные.

    • Содержит кэш файла и url источника.

    • %UserProfile%/AppData/LocalLow/Microsoft/CryptnetUrlCache/MetaData/*

  • HostsFile:

    • Указывает, по какому IP-адресу надо обращаться к хосту.

    • Может содержать перенаправление на вредоносный сервер для легитимного домена.

    •  %SystemRoot%\System32\drivers\etc\hosts

Использование внешних устройств/USB (External Device/USB Usage)

Картинка с сайта: habr.com

Артефакты использования USB-устройств полезны для анализа передачи данных с системы на внешние носители, что важно при расследовании утечек данных и несанкционированного копирования файлов.

  • Журнал установки драйверов:

    • Содержит дату и вре­мя пер­вого под­клю­чения носите­ля.

    • %SystemRoot%\INF\setupapi.dev.log

  • Иден­тифика­торы подключенных устрой­ств:

    • SYSTEM\CurrentControlSet\Enum\USBSTOR\*

  • Бук­ва, наз­начен­ная сис­темой под­клю­чен­ному устрой­ству:

    • SYSTEM\MountedDevices

  • Название устройства:

    • SOFTWARE\Microsoft\Windows Portable Devices\Devices\*\FriendlyName

  • Информа­ция об устрой­ствах и свя­зан­ных с ними иден­тифика­торах фай­ловых сис­тем (исто­рия фор­матиро­ваний носите­ля):

    • SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt

Выводы

Windows хранит огромное количество артефактов, которые могут указывать на активность пользователей и приложений. Конечно, невозможно знать все, но подобная шпаргалка по основным артефактам может значительно упростить работу по расследованию инцидентов, особенно если доступ к привычным источникам данных ограничен или они оказались недоступны.

Источник

В Windows 11 (и 10) система содержит папку AppData для каждой учетной записи пользователя, в которой находятся еще три папки, включая Local», LocalLow и Roaming. Давайте разбираться в их назначении и как получить к ним доступ при возникновении конкретных проблем.

Что такое папка AppData в Windows?

Папка AppData (Application Data) – это скрытый контейнер, в котором хранятся специальные данные для ваших приложений (например, файлы кэша, предпочтения, настройки и другая информация), чтобы они работали правильно.

Другими словами, это центральное место для хранения и получения данных приложениями, не затрагивающее основные файлы приложения, и позволяющее каждому пользователю по-своему настраивать и адаптировать приложения.

Интересно: Что такое режим эффективности в Windows 11 и как его включить?

Картинка с сайта: itshaman.ru

Внутри папки AppData вы найдете три дополнительные вложенные папки, включая «Local», «LocalLow» и «Roaming».

Картинка с сайта: itshaman.ru

Папка Local

В папке Local приложения хранят данные, относящиеся только к устройству и не синхронизируемые между компьютерами.

Картинка с сайта: itshaman.ru

Обычно в этой папке приложения сохраняют свои конфигурационные файлы и настройки. Например, в папке Local вы найдете папку «Microsoft», которая содержит данные для Microsoft Edge Office, OneDrive Event Viewer, Teams и других, в зависимости от приложений, установленных на вашем компьютере.

Если вы удалите папку «Edge», это действие приведет к полному сбросу настроек браузера. В этом случае некоторые настройки будут привязаны к вашей учетной записи Microsoft поэтому повторный вход в браузер приведет к повторной синхронизации некоторых настроек.

Некоторые приложения могут использовать эту папку для кэширования определенных файлов, чтобы повысить производительность или сохранить часто используемые данные. Система и приложения также могут использовать это место для временного кэширования файлов.

Папка LocalLow

Папка LocalLow имеет некоторые общие черты с папкой Local, но имеет несколько иное назначение. Приложения в основном используют ее для хранения данных, которые требуют более низких уровней привилегий, не являются очень важными или используются совместно с другими профилями пользователей.

Картинка с сайта: itshaman.ru

Например, папка LocalLow обеспечивает хранение данных для приложений, которые работают как обычные пользователи или находятся в «песочнице» и имеют ограниченный доступ на запись. Кроме того, приложения могут хранить менее важные и временные данные, а папка может быть общей для нескольких пользователей на одном компьютере.

Папка Roaming

Папка Roaming – это еще одно место для хранения данных, но в ней хранятся данные, которые можно синхронизировать на нескольких машинах.

Картинка с сайта: itshaman.ru

В этом месте хранятся более специфические настройки для каждого пользователя. Например, в этой папке могут содержаться предпочтения приложений, настройки и другие пользовательские данные, которые должны быть одинаковыми на каждом устройстве, где пользователь входит в систему.

Важно отметить, что разработчик решает, какую папку использовать, в зависимости от того, как функционирует приложение.

Как получить доступ к папке AppData и вложенным папкам

Если вы хотите получить доступ к папке AppData и ее вложенным папкам, вы можете настроить File Explorer на отображение скрытых файлов, поскольку в целях безопасности система скрывает эту папку. Однако если вы хотите получить доступ к папкам напрямую, вы можете использовать их конкретные пути или назначенные переменные окружения.

Показывать скрытые файлы и папки

Чтобы показать скрытые файлы в Windows выполните следующие действия:

  1. Откройте Проводник.
  2. (Windows 11) Откройте меню «Вид», выберите «Показать» и отметьте опцию «Скрытые элементы».

    Картинка с сайта: itshaman.ru

  3. (Windows 10) Откройте вкладку «Вид» и установите флажок «Скрытые элементы».

    Картинка с сайта: itshaman.ru

После выполнения этих действий вы сможете просматривать папку с помощью Explorer.

Доступ к папкам AppData

Чтобы получить доступ к папке AppData и вложенным папкам через Explorer, выполните следующие действия:

  1. Откройте File Explorer.
  2. (Вариант 1) Перейдите по следующему пути, чтобы открыть папку «AppData»: C:\Users\USER-ACCOUNT
  3. Щелкните правой кнопкой мыши папку AppData и выберите опцию Открыть.
  4. (Вариант 1) Перейдите по следующему пути, чтобы открыть папку «Local»: C:\Users\USER-ACCOUNT\Local
  5. (Вариант 2) Введите следующую переменную окружения в адресную строку и нажмите Enter: LOCALAPPDATA #
  6. (Вариант 1) Перейдите по следующему пути, чтобы открыть папку «LocalLow»: C:\Users\USER-ACCOUNT\Local Low
  7. (Вариант 2) Введите следующую переменную окружения в адресную строку и нажмите Enter: %LOCALAPPDATA%Low
  8. (Вариант 1) Перейдите по следующему пути, чтобы открыть папку «LocalLow»: C:\Users\USER-ACCOUNT\Roaming
  9. (Вариант 2) Введите следующую переменную окружения в адресную строку и нажмите Enter: APPDATA

Вы также можете использовать эти пути и переменные окружения в «Командной строке» и через окно «Выполнить». Однако переменные среды нельзя использовать в «PowerShell».

Хотя эта папка в целом безопасна для изучения, удаление файлов без понимания их назначения может привести к неожиданным проблемам. Если вы не уверены в содержимом, рекомендуется не вносить никаких изменений.

Важно отметить, что папку AppData нельзя удалить из системы, но при смене учетной записи удаление старой учетной записи приведет к удалению папки «AppData» из этого профиля.

Наконец, хотя приложения используют это место для хранения различных типов данных, все зависит от того, как они были разработаны, поскольку есть приложения, которые не используют это хранилище, например, автономные приложения, не требующие установки.

Источник

В Windows 10 — папка AppData включает в себя следующие подпапки — Roaming, Local и LocalLow. Эта статья кратко объясняет, что это за папки и какие они выполняют функции.

Почти каждая программа, установленная на вашем ПК с Windows 10, создает свою собственную директорию в папке AppData и хранит всю связанную с программой информацию. AppData — это скрытая папка в Windows 10, которая помогает защитить пользовательские данные и настройки от нежелательного взаимодействия или удаления.

Как найти папку AppData

Чтобы получить доступ к папке, первым делом, необходимо включить опцию — «Показать скрытые файлы, папки и диски».

  1. Для этого откройте Проводник, перейдите в меню «Файл».
  1. Выберите «Изменить параметры папок и поиска»

«Изменить параметры папок и поиска»

Картинка с сайта: g-ek.com

  1. В открывшимся окне «Параметры папок» перейдите во вкладку «Вид» и в разделе «Дополнительные параметры» установите флажок для – «Показывать скрытые файлы, папки и диски»

Показывать скрытые файлы, папки и диски

Картинка с сайта: g-ek.com

  1. Теперь откройте диск с установленной Windows 10 и перейдите в папку Пользователи →  Ваше Имя пользователя и найдите папку AppData

Чтобы быстро открыть папку, можно вставить следующее в адресную строку Проводника Windows и нажать Enter:

C:\Users\%username%\AppData

Или

C:\Пользователи\<Имя пользователя>\AppData

Прямой доступ

Вы можете также напрямую открыть папку AppData. Нет необходимости делать это с помощью папки пользователя.

  1. Нажмите сочетание клавиш Win + R, чтобы открыть окно «Выполнить».
  2. Введите %AppData% и нажмите Enter.
  3. В новом окне проводника откроется папка «AppData\Roaming».
  4. Кликните папку «AppData» на панели с лева или в адресной строке, чтобы перейти в основную папку AppData.

Папки Local, LocalLow и Roaming

 

Папки Local, LocalLow и Roaming

Картинка с сайта: g-ek.com

Если вы сделали все правильно, значит вы открыли папку AppData, здесь вы найдете три папки, каждая из этих папок хранит данные различных профилей:

  • Local
  • LocalLow
  • Roaming

Если программа имеет один набор настроек или файлов, для нескольких пользователей, тогда она должна использовать папку ProgramData, но, если необходимо хранить отдельные настройки для каждого пользователя, программа будет использовать папку AppData.

Папка ProgramData содержит глобальные данные приложения, которые не зависят от пользователя и доступны для всех пользователей на компьютере. Здесь хранятся любые глобальные данные.

Давайте посмотрим, что же представляют собой папки Roaming, Local и LocalLow и каковы их функции.

Каждая из этих папок была создана Microsoft намеренно по следующим причинам:

  • Лучшая производительность при входе в систему
  • Сегрегация данных приложения на основе уровня использования.

Папка Local

Папка Local —  содержит файлы, которые созданы в процессе работы или установки программ. Данные содержащиеся в (% localappdata%) не могут быть перемещены с вашим профилем пользователя на другой ПК, поскольку информация специфична для конкретного пользователя Windows 10. Например, временные файлы Internet Explorer или Cookies, сохранение некоторых игр. Кроме того, папка Microsoft, которая содержит всю историю активности Windows.

Папка LocalLow

Папка LocalLow — предназначена в основном для буферных данных, генерируемых разными программами и приложениями.

Другими словами, LocalLow содержит данные, которые не могут быть перемещены. Кроме того, она также имеет более низкий уровень доступа. Например, если вы используете веб-браузер в безопасном режиме, приложение будет получать доступ только к данным из папки LocalLow.

Папка Roaming

Папка Roaming — это тип папки, которую можно легко синхронизировать с другим компьютером, она содержит пользовательские файлы, которые могут быть перенесены с компьютера на компьютер — Например, все ваши данные браузеров, закладки, или если вы входите в другой компьютер в домене, ваше избранное, веб-браузеры или закладки будут доступны. Данные профиля пользователя, всегда доступны независимо от системы, которую использует сотрудник.

Итог:

  1. Roaming  папка содержит данные, которые могут перемещаться с профилем пользователя с компьютера на компьютер
  2. Local папка содержит данные, которые не могут перемещаться с вашим профилем пользователя.
  3. LocalLow папка включает в себя низкоуровневые системы доступа, например. временные файлы вашего браузера при работе в защищенном режиме.

Очень часто в подкаталогах AppData накапливается довольно много программного мусора, который со временем может занимать приличный объём вашего диска. В Local вы найдете папку Temp, в которой хранятся временные файлы, созданные различными приложениями. Содержимое Temp можно без вреда полностью удалить, тем самым освободив место на диске.

Надеюсь, информация будет полезна.

Рекомендуем: Как в Windows 10 переместить папку AppData на другой диск

Источник

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Windows 10 горячая клавиша перезагрузка
  • Как собрать свой образ windows xp
  • Лучший эмулятор sega для windows 10
  • Windows терминал для mac
  • Невозможно переустановить windows 10