概要
- Windows 10 Timeline Forensic Artefacts - CCL Group
https://cclgroupltd.com/2018/05/03/windows-10-timeline-forensic-artefacts/(2020/08/31 追記:削除されていました)
解析まとめ
WindowsTimeline | SQLite query & Powershell scripts to parse the Windows 10 (v1803+) ActivitiesCache.db
https://kacos2000.github.io/WindowsTimeline/Windows 10 ActivitiesCache.db examination
https://kacos2000.github.io/WindowsTimeline/WindowsTimeline.pdfWindows 10 Timeline
https://www.group-ib.com/blog/windows10_timeline_for_forensics
ActivitiesCache.dbとアクティビティ削除
Win 10 1803 とActivitiesCache.db - @port139 Blog
http://port139.hatenablog.com/entry/2018/05/19/070956ActivitiesCache.dbとアクティビティ削除 - @port139 Blog
http://port139.hatenablog.com/entry/2018/05/26/072239ActivitiesCache.dbとアクティビティ削除(2) - @port139 Blog
http://port139.hatenablog.com/entry/2018/06/02/090220ActivitiesCache.dbとアクティビティ削除(3) - @port139 Blog
http://port139.hatenablog.com/entry/2018/06/10/103330
ツール
Introducing WxTCmd! | binary foray
https://binaryforay.blogspot.com/2018/05/introducing-wxtcmd.htmlTimeline ActivitiesCache Parser
https://tzworks.net/prototype_page.php?proto_id=41ActivitiesCache Autopsy Plugin - markmckinnon - Medium
https://medium.com/@markmckinnon_80619/activitiescache-autopsy-plugin-d9a478e956b
更新履歴
- 2019/10/05 新規作成
- 2020/08/31 削除されていたページについて記載に反映。
- 2023/01/10 削除されていたページについて記載に反映。
