menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right 003-从文件中取证 chevron_right 005-win10时间轴.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    005-win10时间轴.md
    952 B / 2021-07-17 00:01:42
        ## win10时间轴

> `Windows Timeline`是Windows10在1803版中引入的一个新特性

用户可以使用`Win` + `Tab`可以对其进行访问,时间轴就像浏览器的历史记录一样,它记录了包含您访问过的网站,还包含您编辑的文档,您玩过的游戏,您查看或创建的图像等,其保存的记录在`ActivitiesCache.db`之中

![](images/security_wiki/15906457081836.png)


`ActivitiesCache.db`位置在

**注**:无加密,数据实时更新

```bash
C:\Users\<username>\AppData\Local\ConnectedDevicesPlatform\<random_char>\ActivitiesCache.db

```

本质是`sqlite3`数据库文件,它包含的表如下

![](images/security_wiki/15906457173419.png)


其中最重要的一个表是`Activity`,`Activity`表包含的字段有`AppId`(包含应用程序的路径),开始时间,结束时间等等

![e1958a97cf2940c5b107852cd295f2d2](images/security_wiki/e1958a97cf2940c5b107852cd295f2d2.png)
    links
    file_download