アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

キャッシュファイルのフォルダパス

Windows 7 & IE8 でテストを行っていたのですが、通常のインターネットサイトを閲覧している場合には保護モードによりキャッシュフォルダは以下のパスになります。このあたりの動作は InPrivateモードかどうかに関係なく保護モードの動作(整合性アクセスレベル?)に従うという感じでしょうか。

C\Users\ユーザー名\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5

信頼済みサイトなどの場合にはInPrivateモードでも以下のフォルダになるようです。

C\Users\ユーザー名\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

この動作について FOroさんが紹介していたマイクロソフトの関連 URL はこちらですね。

保護モードの Internet Explorer の理解と機能
http://msdn.microsoft.com/ja-jp/library/bb250462(VS.85).aspx

InPrivateモードと直接の関係する動作ではない?のですが、キャッシュフォルダの配置と、履歴の削除の関係が興味深いです。テストしていた範囲だと、セーフティのメニューから「閲覧の履歴の削除」を実行した場合、LOW 配下のキャッシュは削除されていたのですが、Temporary Internet Files\Content.IE5 の方はそのまま残っているように見受けられました。もう少し詳細を別途テストする必要があるかもしれませんが...手元で再度テストしたところ、ちゃんと消えている気がするので、昨日のテスト環境のVMに問題があったような気がします。あと、アイコンファイル(.ico)は削除対象にならないのでそのあたりを区別して確認しないといけませんね。

基本的にInPrivateモードで実行中にキャッシュされたファイルは、ブラウザなりタブが閉じられた段階でキャッシュからファイルが削除され、削除ファイル状態になります。今まさに実行中の InPrivateモードのキャッシュ確保とかだと、ブラウザを閉じずにライブでコレクションするか、電源を強制的に断することでInPrivateモードによる削除を避けることができるかもしれませんが、ライブで上記の2フォルダあたりを(削除ファイル含め)LEF 化していまうという手段の方が簡単かもしれません。