MENU

Windows系统下的目标信息收集

January 5, 2020 • Read: 1143 • 信息收集,后渗透阅读设置

0x00 前言

遇到的项目需要收集目标信息,在此记录下,一些记录一些关于用户信息的数据位置。(持续补充)

0x01 路径

以下用户均用administrator代替,对于不同的Windows用户,名字不一,所以通常在不同的users目录下。

1.安装软件相关:

数据文件路径:

C:\Users\administrator\AppData\Roaming

该路径多存放着系统上程序的数据文件,可从此处收集,如浏览器历史记录,cookie,用户信息等数据文件。

2.QQ相关:

QQ号目录:

C:\Users\administrator\Documents\Tencent Files

QQ图片缓存路径:

C:\Users\administrator\Documents\Tencent Files\XXX\Image\C2C

XXXQQ号下载到本地的存储目录:

C:\Users\administrator\Documents\Tencent Files\XXX\FileRecv

聊天记录存储文件:

C:\Users\administrator\Documents\Tencent Files\XXX\Msg.db
C:\Users\administrator\Documents\Tencent Files\XXX\Msg2.0.db
# 某种加密过的db文件
C:\Users\administrator\Documents\Tencent Files\XXX\Msg3.0.db

3.SogouExplorer相关:

历史记录文件:

C:\Users\administrator\AppData\Roaming\SogouExplorer\HistoryUrl3.db
C:\Users\administrator\AppData\Roaming\SogouExplorer\uarchhistory3.db
C:\Users\administrator\AppData\Roaming\SogouExplorer\uhistory3.db

扩展插件记录文件:

C:\Users\administrator\AppData\Roaming\SogouExplorer\Extension4.db

收藏记录文件:

C:\Users\administrator\AppData\Roaming\SogouExplorer\favorite3.dat

4.Google Chrome相关:

历史记录及下载记录等:

C:\Users\administrator\AppData\Local\Google\Chrome\User Data\Default\History
# 需要加文件后缀.db

用户登录凭证:

C:\Users\administrator\AppData\Local\Google\Chrome\User Data\Default\Login Data
# 需要加文件后缀.db
# password_value以某种形式加密,待研究

5.历史命令相关

Psreadline 历史记录:

C:\Users\XXX\AppData\Roaming\PSReadline\ConsoleHost_history.txt
# 旧版windows
C:\Users\Hector\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
# 新版windows

6.Windows Defender相关

Windows Defender保护历史记录:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Results\

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\

Windows Defender病毒备份:

C:\ProgramData\Microsoft\Windows Defender\Quarantine\

原文作者:Keefe

原文链接:Windows系统下的目标信息收集

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

Last Modified: September 14, 2020