في التحقيق الجنائي، اذا نريد نحلل سلوك المستخدم ونعرف ايش كان يفتح من برامج مع الوقت والفتره و مسار الملف وهاش الملف وغيرها من المعلومات.

هذه المعلمات موجوده بسبب ان مايكروسوفت فكرت انها تريد تسوي حياه المستخدم اسهل عن طريق تسجيل سلوكه ولما يرجع يستخدم الجهاز مره اخرى

يظهر له اخر الامور الي عملها ويختارهم بسهولة او مثلا لما يكتب اسم او رابط في المتصفح على طول يقترح له اخر شي فتح وهكذا تصبح تجربه الاستخدام افضل، من وجه نظر تحقيق جنائي. ممكن نستغل هذا ونعرف ايش كان يسوي ونبني تصور عن سلوكه والبرامج الي تم فتحها بالترتيب

هذه المعلومات يتم تلقائيا تخزينها بواسطة وندوز في ملف اسمه ActivitiesCache.db وهو قاعده بيانات sqlite موجود في

C:\Users\%profile name%\AppData\Local\ConnectedDevicesPlatform\L.%profile name%\

الملف هذا فيه معلومات اخر ثلاثين يوم ويمكن تقل اذا المستخدم غير اعدادات الخصوصيه في وندوز الى 3 ايام

عشان نحللها ننزل اي اداة تسوي parse في اداة Eric Zimmerman اسمها Windows 10 Timeline database parser وببساطه تنفذ امر بسيط وبيتم انتاج csv file

عشان تقرا ملف csv في اداه كمان اسمها Timeline Explorer كلهم حلمهم من هذا الرابط

https://t.co/l3vHhjgsvw