読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(18) FireFox Download

ポスターでは FireFox 経由でダウンロードしたファイルの履歴情報として、downloads.sqlite が記述されています。

しかし、これは古いバージョンのお話で(Wiki によると FireFox 21辺りまで?)、手元で確認した FireFox 29.0.1 では downloads.sqlite ファイルは存在しておらず、places.sqlite ファイル内のテーブルでダウンロードファイルを確認できます。
パスは変わっていませんので資料に記載がある下記フォルダ配下で SQLite3 形式のデータを確認できます。

XP %userprofile%\Application Data\Mozilla\ Firefox\Profiles\<random text>.default\
Win7 %userprofile%\AppData\Roaming\Mozilla\ Firefox\Profiles\<random text>.default\

places.sqlite ファイルを SQLite Manager で開き、moz_annos テーブルを確認すると、ダウンロードしたファイルの名前やパスが記録されています。place_id 値から moz_places テーブル内のIDと紐付けができます。
moz_annos テーブルには dateAdded と lastModified の二つの日付フィールドがあり、これは Dcode 等で変換すれば確認が可能です。
興味深いのは、履歴とブックマークの管理画面⇒ダウンロード、で個別にダウンロードの履歴を消しても moz_annos テーブルにレコードがそのままに見えます。参照している place_id 値のレコードは、moz_places テーブル内から削除(ゼロ埋め)されていますが、この辺り moz_annos テーブル内がいつクリアされるのか良く分かりません。

Mozilla Firefox
http://www.forensicswiki.org/wiki/Mozilla_Firefox

ダウンロードしたファイルの管理
https://support.mozilla.org/ja/kb/find-and-manage-downloaded-files