با توجه به پرکاربرد بودن سیستم عامل ویندوز در شبکه های کامپیوتری در بسیاری از پرونده های فارنزیکی بررسی شواهد و مدارک سیستم عامل ویندوز اهمیت بسیاری دارد به همین منظور موسسه نورانت دوره ویندوز فارنزیک را با سرفصل ها سفارشی و به شرح ذیل ارائه میدهد
بخش اول : شواهد و مدارک کلیدی
بررسی شواهد و مدارکی که در سیستم عامل ویندوز دارای اهمیتی بالاتری می باشد و معمولا در اکثر پرونده های فارنزیکی کاربرد دارند از اصلی ترین مطالب این فصل می باشد و تهیه یک نسخه کپی - custom triage Image از این شواهد برای بررسی بیشتر به افراد آموزش داده می شود. در ادامه این فصل به بررسی محدودیت های موجود مانند : رمزنگاری اطلاعات ، پاک شدن اطلاعات و همه تکنیک هایی که برای Anti-Forensic استفاده می شود، میپردازیم
بخش دوم : تجزیه و تحلیل ریجستری
در این بخش ریجستری ویندوز و بخش های مختلفی از آن که دارای شواهد و مدارک مفیدی می باشد استخراج و با موضوع پرونده تطابق داده می شود این بخش ها عبارتند از :
- بررسی فعالیت ها کاربران در شبکه
- بررسی فایل ها با پسوندهای مختلف که کاربران استفاده کرده اند
- بررسی موقعیت جغرافیایی که سیستم عامل در آن قرار داشته است
- بررسی نرم افزارهایی که بر روی سیستم نصب بوده و فایل هایی که با آن نرم افزارها اجرا شده است
- بررسی ورود و خروج کاربران به سیستم عامل
بخش سوم : ردیابی فایل های اجرای و غیر اجرایی
در بخش سوم Shell Item ها سیستم عامل بررسی می شود که شامل :
- تمامی فایل هایی غیر اجرایی که کاربران استفاده کرده اند
- تمامی فایل های اجرایی که کاربران از آن استفاده کرده اند
- تمامی مسیرهای داخلی و خارجی که کاربران مراجعه کرده اند
بخش چهارم : بررسی لاگ ها و مسیرهای کلیدی
در سیستم عامل ویندوز مسیرهای مختلفی وجود دارد که معمولا فعالیت کاربران در آن جا ذخیره می شود که در این بخش مسیرها به تفکیک بررسی می شود که برخی از آن عبارتند از :
- shimcache
- amcache
- prefetch
- srum
بخش پنجم : آنتی فارنزیک و فارنزیک مرورگر
در این بخش به بررسی تکنیک های آنتی فارنزیک و فارنزیک مرورگرهای مختلف اشاره می شود یکی از کلیدی ترین مباحث این بخش فارنزیک private Browsing می باشد و بررسی اطلاعاتی که wipe شده است با استفاده از بررسی جداول فایل سیستم مانند : $MFT