Windows 10 时间线信息存储在:C:\Users\%配置文件名称%\AppData\Local\ConnectedDevicesPlatform\L.%配置文件名称%\ActivitiesCache.db。是一个 SQLite 数据库(版本 3)。与其他 SQLite 数据库一样,它包含以下两个辅助文件:“ActivitiesCache.db-shm”和“ActivitiesCache.db-wal”。
“ActivitiesCache.db”包含以下列表:“Activity”、“Activity_PackageId”、“ActivityAssetCache”、“ActivityOperation”、“AppSettings”、“ManualSequence”、“Metadata”。
“Activity_PackageId”表包含应用程序的记录,包括可执行文件的路径。可以找到可执行文件的名称以及这些记录的到期时间。
“Activity”包含多达五个时间标签字段!
这些是 LastModifiedTime、ExpirationTime、StartTime、EndTime 和 LastModifiedOnClient。它们的含义如下(UTC 时间):
- “StartTime”表示应用程序启动的时刻。
- “EndTime”表示应用程序停止使用的时刻。
- “ExpirationTime” 表示涵盖用户活动的记录在数据库中的存储期限到期的时刻。
- LastModifiedTime 表示涵盖 PC 用户活动的记录最后修改的时刻(如果此类活动已重复多次)。
- LastModifiedOnClient 可以为空,只有用户自己修改文件时才会填充。
