已删除的文件指示文件已被删除。虽然可能无法再访问该文件,但有一个定时记录表示其删除。回收站删除日期/时间设备交互指示用户或系统与外部设备交互,而外部设备不是正在检查的计算机或电话。物联网设备,如Google Home,Amazon Echo,OnStar或其他汽车等。外部设备/USB 使用情况USB 或其他外部设备连接到系统的证据。类别描述例帐户使用情况用户帐户或系统帐户被访问或使用的证据。
登录/注销
密码更改
浏览器使用情况目标使用浏览器或在计算机或手机上导航与 Web 相关的活动的证据。
浏览器上次访问日期/时间
来自浏览器的缓存/饼干
USB 首次连接日期/时间
USB 上次连接日期/时间
文件下载指示文件是从外部源下载的。
Chrome 下载活动记录
Skype 文件传输
文件知识指示用户或系统已以某种方式与文件交互,但可能不知道文件是否实际打开。MAC 时间文件/文件夹打开用户打开文件或文件夹的证据。
跳转列表
贝壳袋
LNK 文件
金融交易表示已发生货币或服务交换。
钱包交易
三星支付
网络活动计算机或手机上发生的网络操作或活动的时间戳。
无线连接
认证
RDP 活动
物理位置根据 GPS 坐标或物理地址在给定时间将用户或设备放置在特定位置的时间戳。
iOS 缓存位置
重要地点
程序执行应用程序或程序在特定时间运行的证据。预取上次运行时间社交活动通过应用程序或服务进行公共交互的证据。
Instagram帖子
鸣叫
脸书墙帖子
用户沟通通过应用程序或服务进行任何形式的私人或半私人群聊的证据。
聊天消息
电子邮件
私信
用户事件与系统外部事件或用户帐户使用情况相关的证据。日历事件,如会议或生日