SANS ポスター:Windows Artifact Analysis(10) Index.dat
SANS Windows Artifact Analysis: Evidence of..ポスターの File Download の項目として Index.dat/Places.sqlite が項目として出てきます。
IE では Ver9 でダウンロードマネージャが搭載され、(通常の履歴以外に)このダウンロードマネージャ用の Index.dat によりダウンロードファイルが管理されていたようですが、IE 10以降はこの仕組みも変更になっています。
http://www.digital-detective.net/netanalysis-v1-53-released/
Microsoft Internet Explorer
This release has been tested with Microsoft Internet Explorer up to version 9.0.8112.16421. Internet Explorer 9 introduced a new integrated download manager which stores the details of downloaded files in a new download INDEX.DAT file. This file has a different structure to the standard INDEX.DAT files. Figure 1 shows NetAnalysis 1.53 with a Download INDEX loaded. You can see the original URL and Download Path columns.
IE 9ではダウンロードマネージャに関連する Index.dat ファイルは下記パスにあります。(IE 10 ではこのフォルダ内に Index.dat は存在しません)
C:\Users\forensics\AppData\Roaming\Microsoft\Windows\IEDownloadHistory
index.dat
IE 10 以降では WebCacheV01.dat で管理されているので、この ESEDB ファイルをパースするツールが必要になります。(ダウンロードしたファイル名が判明している場合、RAWで検索すると関連する V01.log といったログファイルでもダウンロードしたファイル名と保存先パスがKWでヒットしてきます)
C:\Users\forensics\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
ダウンロードしたファイルの保存先パスも WebCacheV01.dat に含まれていますので、ツールがその部分までパースしているか確認するのはポイントかもしれません。(そもそも IE 10 以降に対応しているか?は先に確認すべきだとは思いますが)
例えば NirSoft の BrowsingHistoryView は WebCacheV01.dat をパースしてくれますが、ダウンロード先のパスについては出力結果を更にパースする必要があります。
Internet Explorer 10 では一時ファイル管理方法が変更されている
http://hebikuzure.wordpress.com/2013/04/28/internet-explorer-10-%E3%81%A7%E3%81%AF%E4%B8%80%E6%99%82%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E7%AE%A1%E7%90%86%E6%96%B9%E6%B3%95%E3%81%8C%E5%A4%89%E6%9B%B4%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84/