日志
域日志位置
#服务器登录日志 登录事件ID 4624,可判别出登录域控制器的机器
C:\Windows\System32\winevt\Logs\Security.evtx
#远程登录日志
c:\windows\system32\winevt\logs\*.remote* 主机远程登录日志
HKCU\Software\Microsoft\Terminal Server Client\Servers
HKCU\Software\Microsoft\Terminal Server Client\Default系统开机自启目录
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Firefox浏览器密码、历史记录
#将下述三个文件导入到对应版本firefox的文件夹中,即可读取密码和历史记录
C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\logins.json
C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\key3.db
C:\Users\用户名\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default-release\place.sqlite最近使用的文件<
