Sticky Notes是如何工作的？

Question

最近，我参加了一次面试，面试官在面试中问了我以下几个问题：

• Sticky Notes是如何工作的？
• 即使数据没有显式保存，Windows如何能够保存这些数据？
• 即使系统崩溃，数据也是如何保存的？

我不知道它是怎么工作的。试着搜索，但我找不到任何有用的信息。

有人能解释或提供一些信息吗？

Answer 1

我同意@Vii的回答。关于文件的存储位置，他有正确的信息。

我在这个文件上找到了一些法医背景：Notes

看起来，SNT文件有3个数据流，0,1和3。流0以RTF形式存储信息，蒸汽3以Unicode格式存储实际文本。

存储流的根条目具有与其关联的时间戳，您可以使用MiTec storage、Sticky7List等工具查看与文件相关的创建和修改时间。您可以创建一个便笺，并观察它何时创建数据，并修改便笺，并监视它如何修改文件。

一些有用的参考资料：notes.html

https://superuser.com/questions/396698/how-to-retrieve-contents-of-stick-notes-directly-from-file-system

Notes

http://computer-forensics.sans.org/blog/2010/10/19/digital-forensics-stuck-stickies-2

http://windowsir.blogspot.com/2011/08/sticky-notes-analysis.html