編者按
2018年4月 1803版本正式推出了時間線功能,可以讓用戶在設(shè)備上搜索最長30天前的所有任務,時間線可以顯示你之前所開啟的應用和文檔,讓你可以快速拾起之前的工作。這就好像瀏覽器歷史的視覺化,只不過范圍擴大到了整個系統(tǒng)。
時間線提供跨設(shè)備甚至跨平臺支持。這意味著用戶不僅可以在Win10設(shè)備之間遷移無阻,甚至只要登錄微軟賬號,便可以在或安卓手機上繼續(xù)之前在電腦上的工作。對時間線功能的預研和數(shù)據(jù)提取,可以實現(xiàn)部分的文件溯源分析功能,刻畫出文件的生命曲線。本期美亞柏科技術(shù)專家,將為大家打來Win10時間線功能的解析分享。
01如何使用時間線
如何訪問時間線
點擊搜索框右側(cè)的“任務視圖”按鈕便可以打開時間線視圖。也可以使用”” + “Tab” 快捷鍵開啟時間線視圖。
(圖1:”任務視圖”按鈕位置)
如果任務欄上沒有顯示任務視圖”按鈕,那可能是被隱藏了,右擊任務欄并選擇顯示“任務視圖”按鈕,便可以重新開啟該功能。
(圖2:顯示“任務視圖”按鈕)
時間線默認的視圖是當前任務+今天早些時候的任務歷史視圖,用戶可以通過滑塊回到更早的時間歷史。一般情況下時間線視圖只會展示4天的信息,如果要回看30天內(nèi)更多的信息,則需要登錄微軟賬號。
(圖3:時間線視圖)
直接點擊某項任務,或者右擊打開,即可繼續(xù)之前的工作。
(圖4:打開時間線任務)
通常,時間線會展示每個日期的主要活動縮略圖,如果查看更多的文件和應用,可以點擊日期后面的鏈接-“查看所有XX次活動”。如果要返回之前的視圖,只需點擊“僅查看主要活動”鏈接。
(圖5:左-主要活動縮略圖win10 沒有關(guān)聯(lián)的程序,右-所有活動視圖)
想要快速定位任務的話,可以使用搜索功能。
(圖6:搜索指定時間線任務)
用戶可以刪除特定時間線項,或者清除某個日期的所有活動記錄。移除一個時間線記錄,并不會刪除實際的文檔,僅僅只是從時間線歷史移除而已。右擊想刪除的活動縮略圖,選擇“刪除”。如果想清除該日期的所有活動記錄,選擇點擊“清除從xxx起的所有內(nèi)容”。
(圖7:刪除時間線任務)
如何同步電腦間的時間線
時間線是默認開啟的,只有用戶許可才能同步數(shù)據(jù)到云端。如果本地電腦數(shù)據(jù)同步到云端,那么使用相同微軟賬號登錄的PC端便可以看到這些同步的信息。有兩種方式可以開啟同步功能。
方法一
下拉到時間線底部,“在時間線中查看更多的日期”標題下,點擊”登錄”按鈕登錄微軟賬號。
(圖8:登錄微軟賬號)
方法二
轉(zhuǎn)到設(shè)置->隱私->活動歷時記錄,選擇”允許將我的活動從此電腦同步到云”。
(圖9:設(shè)置頁面允許同步)
如何禁用時間線
如果用戶不想使用時間線功能,可以轉(zhuǎn)到設(shè)置->隱私->活動歷時記錄,取消“允許從此電腦中收集我的活動”選項。
如果用戶想清除時間線內(nèi)容,需要將所有出現(xiàn)在“顯示賬戶活動”下的賬號設(shè)置為“關(guān)閉”win10 沒有關(guān)聯(lián)的程序,并點擊”清理”按鈕。
(圖10:禁用時間線)
時間線數(shù)據(jù)探秘
.db數(shù)據(jù)庫
時間線信息存放在C:mL.[|ADD. |隨機字符串]目錄下的.db文件中。使用取證軟件加載.db,下面是以美亞柏科取證大師為例,從簽名可以看出.db為數(shù)據(jù)庫。
(圖11:數(shù)據(jù)庫文件簽名)
.db內(nèi)容分析
.db包含7張數(shù)據(jù)表:、、、、、、.
其中只有、、三張表記錄用戶的活動信息。
(1)表
表記錄活動的詳細信息,包括操作的文檔以及關(guān)聯(lián)的應用程序。
其中為活動標識,分為三種格式:
a.類似GUID的字符串;
b.類似GUID的字符串字符標志
c.URL
字段標識了活動對應的應用,不同的應用具有不同的哈希值。
字段表明活動類型。當為5時,表明了該活動為打開操作,該操作包括應用、文檔、以及URL的打開;當為5時,表明該活動為應用交互操作。
字段對應,分為兩種格式。當為5時,記錄了活動標題、應用名、文件路徑/URL;當為6時,記錄了應用交互的時間。
下面表格為對應的和的內(nèi)容展示:
5-“打開的應用/文件/URL”
6-“應用交互”
{
"":".exe",
"":"ms-:", "":".exe",
"":"black"
}
{
"type":"", "":"",
"s":685,
"ion":{
"":600
},
"":"Asia/"
}
(表1:和內(nèi)容)
(2)表
表包含最近30天內(nèi)執(zhí)行的應用程序信息,這些信息包括執(zhí)行程序路徑,執(zhí)行程序名稱,以及記錄過期時間。
(3)表
表與表的內(nèi)容大致相同,保存了從時間線界面移除的活動記錄信息。
(4)表
表記錄了數(shù)據(jù)庫中最后一個活動記錄的ETAG值。
(5)表
表包含了.db創(chuàng)建的日期和時間。
7張表格的內(nèi)容如下圖所示:
(圖12:時間線數(shù)據(jù)庫表格內(nèi)容)
對Win10時間線信息進行取證,可以獲取用戶打開的應用、文檔以及網(wǎng)頁信息,取證示例結(jié)果如下圖所示:
(圖13:使用取證大師獲取Win10時間線信息)
03總結(jié)
新穎的時間線功能方便了用戶的工作,也追蹤記錄了大量的用戶信息,解析時間線數(shù)據(jù)對文件溯源分析有著重要意義。