アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(9) E-Mail Attachments

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として E-Mail Attachments が2番目の項目として出てきます。

ここではOutlookを対象として書かれていますので、Outlookのメールボックスが通常置かれているパスとして以下が例示されています。(ユーザーが任意の場所にデータを置くことも可能ですので、これ以外のパスにも存在している可能性があります。またレジストリでForcePSTPathを設定している場合には、そちらにデータが存在する事になります)

XP %USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook
Win7 %USERPROFILE%\AppData\Local\Microsoft\Outlook

ユーザー用のレジストリファイル NTUSER.DAT 内では、HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook1 配下にある値に UTF-16LE 文字列として保存されているようです。値が多いのでRAW検索した方が早いかもしれません。

Outlook 個人用フォルダ ファイルのパス名を取得するスクリプト
http://outlooklab.wordpress.com/2007/09/15/outlook-%E5%80%8B%E4%BA%BA%E7%94%A8%E3%83%95%E3%82%A9%E3%83%AB%E3%83%80-%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%AE%E3%83%91%E3%82%B9%E5%90%8D%E3%82%92%E5%8F%96%E5%BE%97%E3%81%99%E3%82%8B%E3%82%B9/

項目としてはもう一つ、OLKフォルダのパスについて記載されています。OLKはテンポラリフォルダの先頭にこの3文字が使われていたので、そこから来ているという事でしょうか。
Outlookでは添付ファイルを一時フォルダに配置しますが、それが何処にあるか?という事になります。
OLKフォルダのパスはユーザー毎のレジストリファイル NTUSER.DAT の下記キーに記載があります。

HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Security
OutlookSecureTempFolder

OutlookSecureTempFolder値の例)
C:\Users\forensics\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\N73S65G8\

 

Find the Microsoft Outlook temporary OLK folder

http://www.hancockcomputertech.com/blog/2010/01/06/find-the-microsoft-outlook-temporary-olk-folder/