アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(13) WebCacheV01.dat

WebCacheV01.datファイルをESEDatabaseViewまたはEseDbViewerでパースし、CSVデータとして出力するとかなり多くのファイルが作成されます。

出力されるCSVファイルの中に Containers.csv があり、この内容を確認するとContainer_数字のファイルの役割について確認できます。以下、Containers.csv の一部抜粋となります。

ContainerId Directory
1 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\Cookies\
2 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\Cookies\Low\
3 C:\Users\forensics\AppData\Local\Microsoft\Windows\History\History.IE5\
4 C:\Users\forensics\AppData\Local\Microsoft\Internet Explorer\DOMStore\
5 C:\Users\forensics\AppData\Local\Microsoft\Feeds Cache\
6 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\IECompatCache\
7 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\IETldCache\
16 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\PrivacIE\
17 C:\Users\forensics\AppData\Roaming\Microsoft\Internet Explorer\UserData\
19 C:\Users\forensics\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\
20 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\IECompatCache\Low\
21 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\IETldCache\Low\
30 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\PrivacIE\Low\
31 C:\Users\forensics\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low\
32 C:\Users\forensics\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
33 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\iecompatuaCache\
34 C:\Users\forensics\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\
36 C:\Users\forensics\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\
39 C:\Users\forensics\AppData\Local\Microsoft\Windows\History\Low\History.IE5\
40 C:\Users\forensics\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012014060420140605\
41 C:\Users\forensics\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012014060520140606\
42 C:\Users\forensics\AppData\Local\Microsoft\Windows\History\Low\History.IE5\MSHist012014060520140606\

 

 この中でダウンロードマネージャに関連しそうに見えるのは、36番のIEDownloadHistory というコンテナのように見えます。(実際に該当フォルダ配下をエクスプローラから確認しても container.dat というサイズゼロのファイルが存在しているだけですが)

Container_36.csv を開いて確認してみたところ、レコードの存在は確認できます。しかしファイルをダウンロードしたURLや保存した先のパスなどはそのままでは確認する事ができません。
レコードが持っているAccessedTimeをWindows Timeとしてデコードするとダウンロードしたファイルの作成日時に一致します。

とはいえ、出力された CSV ファイルに対して、ダウンロードしたファイル名の文字列を検索してもヒットしてきませんので、パースされていないフィールドがあるのかもしれませんね。(パース方法や手順に問題がある可能性がありますが)

ResponseHeaders として出力されている HEX データ部分は例えば  Downloads という文字列は UTF-16LE で 44 00 6F 00 77 00 6E 00 6C 00 6F 00 61 00 64 00 73 00 として記述されています。

この為、ResponseHeaders を KaniCan(1バイトずらした結果も表示)などで UTF-16LE として変換することで、ダウンロードしたファイルの保存先パスなどの文字列を読み取る事が可能になります。

IE10 History Reader はこの処理を自動的にやってくれますから便利ですね。