Windows-Artefakte
Artefakt | Befehl | Beschreibung |
---|---|---|
Registry Hives (DEFAULT, SAM, SECURITY, SYSTEM, COMPONENTS) | C:\Windows\System32\Config | |
SHIM-Cache (zeichnet auf, ob eine Applikation wirklich ausgeführt wurde | C:\Windows\AppCompat\Programs\Amcache C:\Windows\AppCompat\Programs\Amcache.hve.log* |
|
Eventlog-Dateien (System.evtx, Application.evtx, Security.evtx) | C:\Windows\System32\winevt\logs | |
MFT-Datei | C:\$MFT | |
Windows Prefetch-Dateien1 | C:\Windows\Prefetch |