12、Windows系统文件分析：回收站、预取文件与计划任务

Windows系统文件分析：回收站、预取文件与计划任务

1. 事件日志解析与转换

在进行系统分析时，不同Windows版本的事件日志解析存在兼容性问题。在Windows XP分析系统上，无法使用Logparser解析Vista或Windows 7的事件日志，因为Windows XP的事件日志API与Vista/Windows 7的Windows事件日志格式不兼容。同理，在Vista/7分析系统上也不能用Logparser解析Windows XP或2003的日志。

不过，我们可以将Logparser命令的输出转换为CSV格式，这样不仅便于通过Excel查看和分析，还能添加额外的参考列或个人注释。

若要将Windows XP事件日志转换为Windows 7事件日志格式，可以使用Windows 7自带的“wevtutil.exe”工具，具体操作步骤如下：
1. 打开命令提示符。
2. 输入以下命令：

D:\tools>wevtutil epl appevent.evt appevent.evtx /lf:true

Andreas Schuster开发了基于Perl的库和工具集用于解析Windows事件日志，其库的版本为1.08。你可以下载安装该库，也可以使用已集成该库和工具的软件，如Rob Lee开发的SANS调查取证工具包（SIFT）工作站。

2. 回收站机制

2.1 回收站基本原理

Windows系统内置了强大的事件恢复功能，回收站就是用于存放用户通过正常方式（如按