Эта статья завершает нашу серию об артефактах Windows и их значении для криминалистики. В предыдущих публикациях мы рассмотрели системные артефакты: журналы событий Windows, реестр Windows, файловые артефакты в папках C:\Windows и C:\ProgramData. Без них не восстановить общую картину: запуск и завершение работы системы, активность служб, установку программ, механизмы закрепления и признаки компрометации на уровне машины. Однако системные артефакты показывают события, но не всегда указывают, кто за ними стоит. Сегодня мы рассмотрим артефакты, связанные с действиями конкретного пользователя.

Windows изолирует пользовательское окружение от ядра ОС. Документы, загрузки, кэш приложений, данные облачной синхронизации, ярлыки, миниатюры, временные файлы и множество других следов — всё это оседает в профиле пользователя. В этом смысле содержимое папки C:\Users\<username> отражает действия конкретного человека, работавшего за конкретным компьютером.

В этой заключительной статье мы переходим от системных артефактов к пользовательским. Стандартные папки Desktop, Downloads, Documents и подобные содержат данные, которые пользователь сохранил, создал или скачал из интернета, а данные приложений из скрытых папок могут показать, что именно он открывал, скачивал, редактировал или пытался удалить.

C:\Users и %USERPROFILE%

Прежде чем переходить к конкретным артефактам, отметим важное различие: доступ к данным профиля организуется по-разному на работающей системе и при анализе образов дисков. Каталог C:\Users — стандартный путь к корневой папке профилей пользователей. В криминалистике жёстко заданный путь используется преимущественно при анализе образа диска. После подключения образа эксперт получает полный доступ ко всем профилям на системе, а не только к той учётной записи, которая была активна в момент изъятия. Это важно: старые или забытые учётные записи и локальные профили, созданные злоумышленником, также могут содержать ценные улики.

%USERPROFILE% — переменная окружения, которая разворачивается в домашний каталог пользователя текущей сессии. Это важное отличие: переменную удобно использовать при анализе загруженной системы в ходе предварительного обследования. В частности, именно переменные окружения часто прописывают в скриптах и автоматизированных инструментах сбора данных.

Отметим, что C:\Users — путь по умолчанию, и безусловно полагаться на него нельзя. Общесистемный корневой путь к профилям хранится в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\ProfilesDirectory, а фактический путь к профилю конкретного пользователя (%USERPROFILE%) задаётся для каждого SID в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList<SID>\ProfileImagePath. Профили могут находиться на другом диске, а установка нескольких параллельных систем и вовсе может сильно осложнить анализ, поэтому в таких случаях стоит проверять пути из реестра.

Несмотря на то что эта статья посвящена артефактам файловой системы, нельзя не упомянуть пользовательские кусты реестра, которые также хранятся в пользовательской директории. Два ключевых файла — %USERPROFILE%\NTUSER.DAT и %USERPROFILE%\AppData\Local\Microsoft\Windows\UsrClass.dat. Первый — основной куст реестра конкретного пользователя: настройки, следы запуска программ и история доступа к файлам. Второй содержит ценные артефакты ShellBags и записи MUICache. Мы оставим кусты реестра за скобками и сосредоточимся на файловой системе, однако их всегда следует собирать вместе с остальным профилем. Подробнее — в нашей статье о реестре Windows.

Стандартные папки профиля и встроенные приложения

При создании профиля Windows формирует набор папок по умолчанию в C:\Users\<username>. Для пользователя это — пути по умолчанию, для специалиста — места, где хранятся важные артефакты. Именно сюда по умолчанию сохраняют данные сама Windows, браузеры, почтовые клиенты, офисные приложения и встроенные приложения. Всё вместе это — практическая хронология того, что пользователь скачивал, открывал, редактировал или пытался удалить.

Папка Downloads

Что это: Папка для сохранения файлов по умолчанию при загрузке из интернета, из электронной почты, мессенджеров и по локальной сети. Обычно расположена по адресу %USERPROFILE%\Downloads

Криминалистическая ценность: Очевидная ценность — сами скачанные файлы. Неочевидная — скрытые метаданные. На томах NTFS Windows может добавить к файлу альтернативный поток данных Zone.Identifier, помечающий его как загруженный из интернета. В этом потоке могут сохраняться зона безопасности, URL страницы-источника и прямая ссылка, с которой был скачан файл. Даже если исполняемый файл будет переименован, метаданные могут по-прежнему указывать на фишинговую страницу или сервер распространения вредоносного ПО. Отсутствие или удаление Zone.Identifier у исполняемых файлов, скриптов или архивов тоже имеет значение: снятие метки веб-происхождения — распространённый способ обойти предупреждения безопасности. Стоит также заглянуть в %USERPROFILE%\Links: там может находиться ярлык Downloads.lnk, указывающий на эту папку.

Папка Desktop

Что это: Рабочий стол пользователя со всеми файлами, папками и ярлыками. В зависимости от настроек располагается локально (%USERPROFILE%\Desktop) или перенаправляется в OneDrive (%USERPROFILE%\OneDrive\Desktop).

Криминалистическая ценность: Рабочий стол часто используется как место для временного хранения файлов и документов. Иногда он служит промежуточной точкой для подготовки файлов перед архивированием, копированием или утечкой; в случаях с вирусами-вымогателями здесь иногда оказываются вредоносные нагрузки, скрипты и записки с требованием выкупа — всё то, что жертва увидит сразу. Даже если исходный файл удалён, оставшийся ярлык .lnk может подтвердить, что у пользователя был к нему прямой доступ. Стоит также заглянуть в %USERPROFILE%\Links: там может находиться Desktop.lnk, указывающий на текущее расположение рабочего стола.

Папка Documents

Что это: Папка по умолчанию для сохранения файлов Office, PDF, текстовых документов, экспортированных данных и т.п. Обычно расположена по адресу %USERPROFILE%\Documents

Криминалистическая ценность: Ценность очевидна — здесь часто хранятся файлы, которые интересуют следствие. Неочевидная ценность — вторичные следы, например, временные файлы блокировки Office с префиксом ~$. Если такой файл сохранился, это говорит о том, что соответствующий документ был открыт в момент аварийного завершения работы системы, принудительного отключения питания или неожиданного обрыва сессии.

Папки Pictures, Music и Videos

Что это: Стандартные папки Windows для хранения медиаконтента, обычно расположенные по адресам %USERPROFILE%\Pictures, %USERPROFILE%\Music и %USERPROFILE%\Videos.

Криминалистическая ценность: В корпоративных расследованиях медиапапки нередко пропускают — напрасно. Одна из причин — файлы Thumbs.db. В старых версиях Windows, а также при работе с сетевыми папками Windows сохраняет миниатюры изображений в скрытых файлах Thumbs.db. Эти миниатюры могут пережить удаление исходных файлов и доказать, что конкретное изображение когда-то находилось в этом месте. Объёмные медиапапки также могут скрывать вредоносные нагрузки или похищенные данные, замаскированные под обычные файлы.

Папка Recent и файлы LNK

Что это: Windows ведёт скрытую папку Recent по адресу %APPDATA%\Microsoft\Windows\Recent (физически: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent). При открытии документа, изображения или приложения Windows нередко создаёт в ней ярлык, указывающий на соответствующий объект.

Криминалистическая ценность: Файлы .lnk представляют высокую ценность. Они нередко сохраняются после удаления исходного файла или отключения USB-накопителя. В них могут храниться исходный путь к цели, временные метки целевого файла и сведения об устройстве хранения — серийный номер тома и тип диска. Это делает папку Recent особенно важной там, где требуется установить не просто наличие файла, а факт обращения к нему.

Папка Favorites

Что это: Устаревшая папка, изначально использовавшаяся Internet Explorer для хранения закладок и ярлыков веб-страниц. Обычно расположена по адресу %USERPROFILE%\Favorites

Криминалистическая ценность: На современных системах считается устаревшей и вряд ли обновляется или как-то используется пользователем, однако встречается во многих установках Windows и может содержать ценные исторические данные. В старых профилях здесь могут сохраняться URL закладок, ярлыки, созданные вручную, или ссылки, добавленные приложениями, — всё это помогает восстановить картину веб-активности пользователя, его интересов или доступа к конкретным ресурсам. Главная ценность Favorites — долговечность: её артефакты переживают смену браузеров и остаются в профиле долгое время после того, как соответствующая деятельность прекратилась.

Microsoft OneDrive

Что это: OneDrive встроен в Windows 10 и 11 как штатный движок облачной синхронизации. Видимый корень синхронизации обычно находится по адресу %USERPROFILE%\OneDrive и поддерживает локальные файлы, файлы-заместители и функцию «Файлы по запросу» (Files On-Demand).

Важно: Частичная синхронизация — реальная проблема, затрагивающая как исследование образов дисков, так и анализ загруженной системы, хотя и по-разному. Рекомендуем разобраться с ней заранее, прочитав статью Облачные файлы в загруженной системе и образе диска.

Криминалистическая ценность: OneDrive выводит профиль пользователя за пределы локального диска. Нужно проверить три места. Первое — видимый корень синхронизации (%USERPROFILE%\OneDrive), где облачные файлы могут присутствовать как полностью, так и в виде файлов-заместителей. Даже без тела файла на диске такая запись может помочь установить факт существования файла и то, что пользователь мог иметь к нему доступ. Второе — %LOCALAPPDATA%\Microsoft\OneDrive\logs с журналами синхронизации в формате .odl: они позволяют восстановить историю загрузок, выгрузок, переименований и удалений, а иногда — и действий по совместному доступу. Третье — %LOCALAPPDATA%\Microsoft\OneDrive\settings, где файлы наподобие UserCid.dat и SyncEngineDatabase.db связывают локальную учётную запись Windows с учётной записью Microsoft и раскрывают структуру синхронизированных облачных данных.

Блокнот в Windows 11

Что это: Блокнот в Windows 11 поддерживает сохранение состояния сессии и восстанавливает несохранённые вкладки.

Криминалистическая ценность: Блокнот сохраняет содержимое открытых вкладок в двоичных файлах .bin по адресу %LOCALAPPDATA%\Packages\Microsoft.WindowsNotepad_8wekyb3d8bbwe\LocalState\TabState. Несохранённый текст может оставаться доступным даже после закрытия приложения. В TabState могут храниться любые следы активности пользователя — например, временные заметки, учётные данные, списки IP-адресов или фрагменты команд.

Paint, WordPad и другие встроенные редакторы

Что это: Paint, WordPad и устаревший редактор Write — простые редакторы, присутствующие на большинстве систем Windows по умолчанию.

Криминалистическая ценность: Их используют именно потому, что они уже есть на компьютере, — а значит, их следы появляются там, где сторонних программ нет. Paint может оставлять связанные с кэшем следы в AppData при редактировании изображения — это помогает установить факт локальной обработки скриншота или графики. WordPad и Write создают временные файлы и записи .lnk в папке Recent при открытии документов. Порой этого достаточно, чтобы установить, что пользователь просматривал или редактировал файл.

AppData и папки с точкой в начале имени

Папка %USERPROFILE%\AppData имеет атрибут «скрытый»; он позволяет убрать технические папки из Проводника. Здесь Windows и приложения хранят данные, не предназначенные для непосредственного доступа пользователя: настройки, кэши, состояния сессий, временные файлы, журналы, данные браузеров и прочие артефакты. Вместе с тем это один из богатейших источников цифровых доказательств как для встроенных, так и сторонних приложений.

AppData делится на три подпапки: Roaming, Local и LocalLow. Такое разделение отражает подход Windows к пользовательским данным: одни данные следуют за пользователем при переходе между компьютерами в домене, другие привязаны к конкретной машине, третьи записываются изолированными процессами с низким уровнем привилегий.

Подпапка Roaming

Что это: %APPDATA%, разворачивающийся в %USERPROFILE%\AppData\Roaming, хранит данные, которые будут доступны пользователю при переходе между компьютерами в домене. В среде Active Directory сюда входят настройки приложений, закладки, словари и другие переносимые параметры. На локальных компьютерах папка Roaming тоже есть и содержит те же данные — только они никуда не перемещаются.

Криминалистическая ценность: Roaming связывает активность приложения с пользователем, а не с конкретным компьютером. Здесь хранятся основные профили браузеров, мессенджеров, FTP-клиентов и другого подобного программного обеспечения — истории переписки, сохранённые учётные данные, закладки, настройки. В доменных средах одни и те же синхронизированные артефакты на нескольких конечных точках помогают сопоставить действия с конкретной учётной записью. Roaming — частое место для закрепления вредоносного ПО: обычный пользователь может писать туда без прав администратора, что делает папку удобным местом для вредоносных скриптов и шпионского ПО.

Подпапка Local

Что это: %LOCALAPPDATA%, или %USERPROFILE%\AppData\Local, хранит данные, привязанные к конкретному компьютеру. Они не синхронизируются даже в доменной среде. Сюда попадают крупные кэши, временный контент, пакеты обновлений, остатки установщиков и другие данные, которые слишком объёмны или специфичны, чтобы синхронизировать их.

Примечание: %LOCALAPPDATA%\Programs — сюда могут попадать приложения, установленные без прав администратора (без запроса UAC), — как легитимные программы, так и вредоносное ПО, которому нужно закрепиться в системе без повышения привилегий.

Криминалистическая ценность: В Local фиксируется активность, специфичная для конкретного устройства. Современные браузеры хранят здесь большую часть кэша: это позволяет восстановить историю просмотров, извлечь фрагменты просмотренного контента и отследить загрузки детальнее, чем по одной папке Downloads. В %LOCALAPPDATA%\Microsoft\Windows\Explorer хранится централизованный кэш миниатюр: базы данных Thumbcache могут свидетельствовать об изображениях, просматривавшихся на системе, даже если исходные файлы удалены. В %LOCALAPPDATA%\Temp установщики, модули обновления и многие вредоносные нагрузки распаковывают рабочие файлы. Временные метки в Temp помогают выстроить детальную хронологию установок и запусков. Стоит учитывать, что переменные среды %TEMP% и %TMP% обычно указывают на %LOCALAPPDATA%\Temp, но пользователь может переопределять эти пути, поэтому стоит просмотреть значения этих переменных.

Подпапка LocalLow

Что это: %USERPROFILE%\AppData\LocalLow отделена от Local по соображениям безопасности. Это место для записи процессов, работающих с низким уровнем целостности в рамках механизма Windows Mandatory Integrity Control. Изолированные и частично ограниченные приложения нередко используют LocalLow вместо Roaming или Local.

Криминалистическая ценность: LocalLow наиболее актуальна в делах, связанных с браузерами, изолированными средами приложений или цепочками эксплойтов. Из-за ограниченного доступа на запись разнообразные кэши, временные файлы и сессионные артефакты процессов с низким уровнем целостности оседают именно здесь. Если злоумышленник первоначально закрепился через sandbox браузера или другой ограниченный процесс, следы этого могут оставаться в LocalLow — вплоть до того момента, когда повышение привилегий или выход из sandbox не сместит активность в другое место.

Папки конфигурации с точкой в начале имени

Что это: Исторически Windows хранила пользовательские настройки в реестре и AppData, однако современные кросс-платформенные инструменты всё чаще используют файлы и папки конфигурации в Unix-стиле прямо в корне профиля. Среди распространённых примеров — %USERPROFILE%\.ssh, %USERPROFILE%\.aws, %USERPROFILE%\.vscode и %USERPROFILE%\.gitconfig. В них нередко хранятся учётные данные, история подключений и настройки облачных инструментов и программ для отладки и разработки.

Криминалистическая ценность: Эти папки могут иметь большое значение. В .ssh могут находиться закрытые ключи — id_rsa, id_ed25519 — а также known_hosts с записями о серверах, к которым подключался пользователь. Это помогает отследить горизонтальное перемещение и выявить доступ к внутренним подсистемам Linux или облачной инфраструктуре. В .aws могут лежать открытым текстом ключи доступа и секретные токены для инструментов командной строки AWS. Файл .gitconfig связывает локальную учётную запись Windows с идентификатором разработчика через имена, адреса электронной почты и настройки репозитория. Папка .vscode хранит настройки рабочего пространства, историю удалённых подключений и данные расширений — всё это помогает установить, к каким репозиториям был получен доступ и не использовалось ли вредоносное расширение.

Заключение

Этой статьёй мы завершаем серию об артефактах операционной системы Windows. Мы начали с журналов событий и реестра, перешли к файловой системе в C:\Windows и C:\ProgramData и закончили профилем пользователя — той частью системы, где техническая активность и действия конкретного пользователя пересекаются наиболее тесно. В совокупности эти источники покрывают значительную часть криминалистического анализа Windows: системные артефакты задают контекст и помогают восстановить следы активности в системе, а пользовательские — позволяют атрибутировать их конкретному человеку.

Предыдущие статьи:

• Облачные файлы в загруженной системе и образе диска
• Криминалистический анализ реестра Windows
• Криминалистический анализ журнала событий Windows Event Log
• Файловые артефакты в C:\Windows
• Исследование содержимого C:\ProgramData

Эта статья опирается на исследования участников сообщества цифровой криминалистики, и мы искренне благодарим их за вклад. Детальный анализ артефактов Windows 10 и 11 был бы невозможен без исследований и документации, предоставленных авторами и организациями, перечисленными ниже.

1. About User Profiles (Microsoft Learn)
2. Folder Redirection and Roaming User Profiles in Windows and Windows Server (Microsoft Learn)
3. Windows Forensic Artifacts User Activity (Elite Digital Forensics)
4. Mark of the Web Bypass (Red Canary Threat Detection Report)
5. Thumbs.db (Forensics Wiki)
6. Windows thumbcache (Forensics Wiki)
7. Lnk (Forensics Wiki)
8. Reading OneDrive Logs (Yogesh Khatri’s forensic blog)
9. OneDrive Forensics: Investigating Cloud Storage on Windows Systems (CyberEngage)
10. Exploring windows artifacts notepad files (u0041)
11. What makes Windows 11 interesting from a digital forensics perspective (Securelist)