@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(12) WebCacheV01.dat

WebCacheV01.datファイルは Extensible Storage Engine (ESE) Database File (EDB) 形式ですが、EseDbViewer で読み込む時にはページサイズを指定する必要があります。(EseDbViewerは管理者権限で実行しないと.datを読み込ませた時にエラーになるので注意が必要ですね)

ESEDBについては libesedb というプロジェクトがあり、ここで内部構造に関する資料が公開されています。

Extensible Storage Engine (ESE) Database File (EDB) format.pdf
https://googledrive.com/host/0B3fBvzttpiiSN082cmxsbHB0anc/

データベースのファイルヘッダについては Page 2 に記述があります。下記は WebCacheV01.dat の先頭部分になります。

CA D6 06 06 EF CD AB 89 20 06 00 00 00 00 00 00
FD 8B 07 01 00 00 00 00 2C 72 02 00 02 0F 04 0D
09 71 01 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 02 00 00 00 30 01 88 03 5A 2B 00 00
29 00 05 05 06 72 01 00 22 0B 01 06 06 72 01 00
A1 01 89 03 5A 2B 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 01 00 00 00 DB E8 02 00
02 0F 04 0D 09 71 01 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 9E 01 00 00 06 00 00 00 01 00 00 00
B1 1D 00 00 01 00 00 00 11 00 00 00 00 80 00 00

先頭 4バイトは Checksum で、その続き 4バイトがシグネチャになっており、“\xef\xcd\xab\x89”になります。上記でも EF CD AB 89 になっている事が確認できます。
ページサイズについては、オフセット 236 からの 4バイトという事ですので、上記のデータですと 00 80 00 00 で、10進数に戻すと 32,768 である事が確認できます。