Skip to main content

windows10剪贴板Pinned文件取证

2025-1-8


在24年的时候,群友发现win10和win11的剪贴板(按win+v开了历史记录)被pinned之后,会在C:\Users\{Users}\AppData\Local\Microsoft\Windows\Clipboard\Pinned\{GUID}下多出一个用{GUID}格式表示的文件夹

image-20250108192509573

其中metadata.json就是保存的元数据,这个数据非常简单,基本没啥用

image-20250108192612593

我们点开后会发现,他有两种呈现的格式:

第一种

这是第一种:

image-20250108192842929

一个metadata.json文件和一个base64命名的文件,对base64解码后可以得到:

image-20250108192923781

然后我们看看meta:

image-20250108193113340

这表示这是个文本内容

然后我们尝试读取这个文件的内容:

image-20250108193014541

这里实际的原文内容是"这是对剪贴板进行测试"

此外,我还pinned了一个图像内容,让我们看看他的metadata和文件内容:

image-20250108193218650

解码base64先:

image-20250108193245599

然后看看metadata的内容:

image-20250108193301411

第二种

第二种则是类似这样的:

image-20250108193407092

image-20250108193411602

首先对第一张图,我们分别解码:

image-20250108193611948

可能思考一下就只能知道,这是带有格式的复制粘贴,所以这就是为什么有些内容粘贴到文档里面的时候,会有特殊格式,但是先粘贴到记事本再粘贴到文档里面,特殊格式就没了。

像第一张图里面的文件:

image-20250108193744266

这里当时本来尝试分析了,但是……很麻烦,真没去解析出来。