読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(10) Index.dat

SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として Index.dat/Places.sqlite が項目として出てきます。

IE では Ver9 でダウンロードマネージャが搭載され、(通常の履歴以外に)このダウンロードマネージャ用の Index.dat によりダウンロードファイルが管理されていたようですが、IE 10以降はこの仕組みも変更になっています。

http://www.digital-detective.net/netanalysis-v1-53-released/
Microsoft Internet Explorer
This release has been tested with Microsoft Internet Explorer up to version 9.0.8112.16421. Internet Explorer 9 introduced a new integrated download manager which stores the details of downloaded files in a new download INDEX.DAT file. This file has a different structure to the standard INDEX.DAT files. Figure 1 shows NetAnalysis 1.53 with a Download INDEX loaded. You can see the original URL and Download Path columns.

IE 9ではダウンロードマネージャに関連する Index.dat ファイルは下記パスにあります。(IE 10 ではこのフォルダ内に Index.dat は存在しません)

C:\Users\forensics\AppData\Roaming\Microsoft\Windows\IEDownloadHistory
index.dat

IE 10 以降では WebCacheV01.dat で管理されているので、この ESEDB ファイルをパースするツールが必要になります。(ダウンロードしたファイル名が判明している場合、RAWで検索すると関連する V01.log といったログファイルでもダウンロードしたファイル名と保存先パスがKWでヒットしてきます)

C:\Users\forensics\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

ダウンロードしたファイルの保存先パスも WebCacheV01.dat に含まれていますので、ツールがその部分までパースしているか確認するのはポイントかもしれません。(そもそも IE 10 以降に対応しているか?は先に確認すべきだとは思いますが)
例えば NirSoft の BrowsingHistoryView は WebCacheV01.dat をパースしてくれますが、ダウンロード先のパスについては出力結果を更にパースする必要があります。


Internet Explorer 10 では一時ファイル管理方法が変更されている
http://hebikuzure.wordpress.com/2013/04/28/internet-explorer-10-%E3%81%A7%E3%81%AF%E4%B8%80%E6%99%82%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E7%AE%A1%E7%90%86%E6%96%B9%E6%B3%95%E3%81%8C%E5%A4%89%E6%9B%B4%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84/