アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

ブラウザセッションのフォレンジック調査

昨日、なぜJSONとOLE構造ファイルの閲覧ツールを何故調べていたんだっけ?、とボケてきているので忘れないうちに関連する URL をメモ。

Web Browser Session Restore Forensics
http://computerforensics.parsonage.co.uk/other/other.htm

先日 Twitter で呟いた気がしないでもないですが、ブラウザが保持しているセッション情報のフォレンジック調査手法に関する文書が下記 URL で公開されているのですが、なかなか興味深い内容になっています。週末の FNG10 でこの辺りも少し確認できるといいかなぁと思ってまして、それで JSON なエディタとか調べてました。
IE8の場合、.dat ファイルの中に UTF-16LE で文字列が格納されているようですが、例えばこんな感じの情報が .dat ファイルに含まれていることが目視で確認した範囲ではありました。FNGの参加申し込みを受け付けた時に表示していたメールのタイトルですかねぇ。

 <title>Gmail - 01/16 FNG09 参加希望(オンライン) </title>

このサイトでは他にもタイムスタンプのエンコード・デコードツール TimeLord など、面白そうなツールや資料が色々と公開されていますね。TimeLord で検索していたら、こんなの発見してヘェーとか思って眺めてましたが、CSI とかで登場しそうな...

CEDAR Forensic
http://www.timelord.co.jp/pro-audio/Products/CEDAR_Forensic.html