読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline.py(Plaso)によるタイムラインの作成(13)

Log2timeline(Plaso)と Ver 0.66 いずれにも含まれているパーサーとして IE のヒストリとキャッシュのパーサがあります。Plasoでは MsiecfParser(Parses MSIE Cache Files (MSIECF))が提供されており、説明文からすればキャッシュの Index.dat をパースするように見受けられます。

ここでは Windows 7 と IE 8 の組み合わせのキャッシュデータをパースしてみます。切り分けの為、Content.IE5 には IE 8 のキャッシュフォルダ部分だけを取り出して置いたものになります。 

root@siftworkstation:/cases# log2timeline.py --parsers Msiecf --output L2tcsv --logfile out.log -d iecftimeline.txt /cases/Content.IE5/

 パース結果は下記になりますが、テストデータ内に日本語ファイル名のキャッシュなどを含むデータが無かったので、日本語文字列の扱いがどうなるのかは不明です。

 date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,00:01:22,UTC,....,WEBHIST,MSIE Cache File URL record,Last Access Time,-,-,Location: http://hp.msn.com/global/c/hpv10/favicon.ico,Location: http://hp.msn.com/global/c/hpv10/favicon.ico Number of hits: 1 Cached file size: 1406 HTTP headers: HTTP/1.1 200 OK - Content-Length: 1406 - Content-Type: image/x-icon -  - ~U:forensics - ,2,/cases/Content.IE5/index.dat,22020159,-,MsiecfParser,cache_directory_index: 0  recovered: False 

 次に、履歴の Index.dat についても取り出しを行い、同じ Msiecf パーサで処理を実行します。

 root@siftworkstation:/cases# log2timeline.py --parsers Msiecf --output L2tcsv --logfile out2.log -d iecftimeline2.txt /cases/History.IE5/

 パース結果は以下になりますが、履歴の Index.dat もパース出来ているように見えますね。

 date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

04/20/2014,02:09:27,UTC,.A..,WEBHIST,MSIE Cache File URL record,Last Visited Time,-,-,Location: Visited: forensics@http://go.microsoft.com/fwlink/?LinkId=69157,Location: Visited: forensics@http://go.microsoft.com/fwlink/?LinkId=69157 Number of hits: 7 Cached file size: 0,2,/cases/History.IE5/index.dat,12058626,-,MsiecfParser,cache_directory_index: -2  recovered: False 

 ここまでは Plasoベースのパース結果を確認してきましたので、Ver 0.66 の iehistory についても確認してみます。(下記のコマンドラインではキャッシュフォルダのコピー先を指定しています) 

root@siftworkstation:/cases# log2timeline -f iehistory -r -o csv -z UTC -log out1.log -w ietimeline066.txt /cases/Content.IE5/

 出力結果は以下になります。

 04/20/2014,01:12:06,UTC,M...,WEBHIST,Internet Explorer,time2,-,-,visited http://www.windows-live-mail.net/_src/sc68/blk_al_L.ico,URL:http://www.windows-live-mail.net/_src/sc68/blk_al_L.ico cache stored in: 02LM9YZW/blk_al_L[1].ico - HTTP/1.1 200 OK - ETag: "13cae79-57e-492a0e4c" - Content-Length: 1406 - Keep-Alive: timeout=1- max=100 - Content-Type: image/x-icon,2,/index.dat,22020159,-,Log2t::input::iehistory,-

 流石にこの辺り、IE 9 までの Index.dat に対するパーサは枯れている印象があります。IE 10 以降は Index.dat から管理方法が WebCacheV24.dat と WebCacheV01.dat へ変わってますので、その辺りへの対応については別途必要でしょうか。

 

ESEDatabaseView - View/Open ESE Database Files (Jet Blue / .edb files)