読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(19) Chrome Download

フォレンジック

ポスターには記載がありませんが、Google Chrome についても確認しておきたいと思います。

Google Chrome では以下のフォルダ配下に SQLite3 形式で History ファイルが存在しています。

Win7 %userprofile%\AppData\Local\Google\Chrome\User Data\Default

History(中身はSQLite3データベースファイル)を開くと、downloads テーブルが存在し、このテーブルでダウンロード情報を確認できます。FireFoxよりもChromeのほうが確認しやすい構造かと思います。

"id INTEGER PRIMARY KEY," // Primary key.
"current_path LONGVARCHAR NOT NULL," // Current disk location
"target_path LONGVARCHAR NOT NULL," // Final disk location
"start_time INTEGER NOT NULL," // When the download was started.
"received_bytes INTEGER NOT NULL," // Total size downloaded.
"total_bytes INTEGER NOT NULL," // Total size of the download.
"state INTEGER NOT NULL," // 1=complete, 4=interrupted
"danger_type INTEGER NOT NULL, " // Danger type, validated.
"interrupt_reason INTEGER NOT NULL," // content::DownloadInterruptReason
"end_time INTEGER NOT NULL," // When the download completed.
"opened INTEGER NOT NULL," // 1 if it has ever been opened else 0
"referrer VARCHAR NOT NULL," // HTTP Referrer
"by_ext_id VARCHAR NOT NULL," // ID of extension that started the
// download
"by_ext_name VARCHAR NOT NULL," // name of extension
"etag VARCHAR NOT NULL," // ETag
"last_modified VARCHAR NOT NULL)"; // Last-Modified header

ただし、タイムスタンプが WebKit 形式になっています。Dcode であれば Google Chrome Value を選択してパースが可能です。

Google Chrome Forensics
http://digital-forensics.sans.org/blog/2010/01/21/google-chrome-forensics/