アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(11) Index.dat

IE 10のWebCacheV01.dat ファイル内でダウンロード情報がどの様に管理されているかを確認してみたいと思います。
ESEDB形式ファイルを閲覧できるツールとしては下記があります。(専用ツールという意味ではIEFがありますが)

ESEDatabaseView
http://www.nirsoft.net/utils/ese_database_view.html

EseDbViewer
http://www.woanware.co.uk/forensics/esedbviewer.html

IE10+ History Reader
http://www.forensicplayground.com/downloads/ie10-history-reader/

 パース対象とするファイルは下記にあります。

C:\Users\forensics\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

NirSoftのESEDatabaseViewであれば、ファイルを開くメニューから WebCacheV01.dat を指定すればデータベースの構造をパースし、プルダウンメニューから項目を選択してデータ内容を表示する事ができます。
GUI で表示するのではなく、一括して CSV 形式で出力することもコマンドラインから指定が可能です。

>ESEDatabaseView.exe /table WebCacheV011.dat * /scomma Webcache_*.csv

GUI 上と出力した CSV の中を確認してみたのですが、ダウンロードマネージャで確認できる文字列を検索してもヒットしません。(試しに EseDbViewer でもページサイズを 32768 にして処理させてみたのですが、やはり出力結果ではヒットしてきません)

WebCacheV01.dat に対して RAW で KW 検索するとダウンロードしたファイル名や保存先パスが確認できますので、出力結果にそれらが含まれていないようにも見えます

IE10+ History Reader はタブにieDownloadという項目があり、取れそうに見えるのですが残念ながら手元ではWebCacheV01.datを読み込んだ段階でエラーが発生してしまいパース結果を確認する事が出来ませんでした。皆さんのお手元では表示されますでしょうか?

ESENTUTLツールを使い、データベースの状態をクリーンにしてからIE10+ History Readerでパースしてみたところ、正常にパースされ ieDownload タブでデータを確認できました。

ダウンロードファイルのパスなどは、ResponseHeaders From hex となっていますので、Webcache_Container_36.csv に含まれている HEX をパースする必要があるということでしょうか。


Forensic analysis of the ESE database in Internet Explorer 10
http://articles.forensicfocus.com/2013/12/10/forensic-analysis-of-the-ese-database-in-internet-explorer-10/