アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

テンポラリフォルダの利用

アプリケーションが利用するテンポラリフォルダについて、代表的な幾つかのアプリケーションについて調べてみたのですが、それぞれアプリケーションよっては興味深い使い方をしますね。
基本的にはユーザーのテンポラリフォルダ(Local Settings\Temp\)か、\Temporary Internet Files\が使われる雰囲気ですけど、アプリケーションによっては更に別のフォルダを使ったりするケースもあるかと思います。
簡単に調べられるかと思っていたのですが、結局 Twitter でのアドバイスなどに従い Filemon で調べました。Microsoftのサイトでは Filemon がなくて、プロセスモニター使えとか言われたのですが、手元の環境では何度やってもハングアップしてしまい、電源を強制的に断する状況に陥ったので FileMon を探し出してきて使いました。

Outlook 2007:添付ファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files\Content.Outlook\FPNTXG9E\Filename.doc

Outlook Express 6:添付ファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files\Content.IE5\Y477D8US\Filename.doc

Thunderbird 3:添付ファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temp\Filename.doc

Internet Explorer 8:サイト上のOfficeファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files\Content.IE5\ERCBZYWV\Filename.doc

Firefox 3.5.3:サイト上のOfficeファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temp\Filename.doc

Windows XP エクスプローラ:圧縮ファイル内の個別ファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temp\FileName.zip の一時ディレクトリ 1\readme.txt

■7zip:圧縮ファイル内の個別ファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temp\7zOE.tmp\Readme.txt

■WinRAR:圧縮ファイル内の個別ファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temp\Rar$DI02.203\Readme.txt

Windows Media Player 11:ファイル→URLを開く…
C:\Documents and Settings\UserName\Local Settings\Temporary Internet Files\Content.IE5\04QFTOX7\filename.avi

Adobe Acrobat:PDF内添付ファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temp\A9R177A.tmp\Filename.doc

FileZilla:表示/編集メニューからファイルオープン時
C:\Documents and Settings\UserName\Local Settings\Temp\fz3temp-1\Readme.pdf