@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Autopsy 4.4.1 タイムライン機能(4)

Web アクティビティ(Chrome)

セキュリティキャンプ 2017の E4 トラック事前学習で作成した Chrome01_RAW.001 を Autopsy のタイムライン機能で確認。

実際に操作した内容は下記。

  1. Googleで「セキュリティキャンプ」を検索
  2. セキュリティキャンプのWebを参照
  3. 協議会のWebへリンクをたどり参照

解析対象のイメージファイル内には、Chrome のプロファイルフォルダのみが存在し、他のデータは無い状態。

「カウント」モードでの表示、ウェブアクティビティのみ表示。

f:id:hideakii:20170822201329p:plain

「詳細」モードでの表示

f:id:hideakii:20170822201528p:plain

「List」モードでの表示

f:id:hideakii:20170822201657p:plain

ウェブアクティビティの項目だけではキャッシュファイルが表示されない。

Chromeのキャッシュファイルを含めてタイムラインを表示するには、ファイルシステムの項目も表示する。

下記ではファイルシステムとして作成日時だけを有効にした後、タイムラインを表示している。同一秒数内で表示されているので、順序に注意する必要があるが、全国大会のリンクを参照したタイミングが 20:50:22 となる。

f:id:hideakii:20170822202042p:plain

この EXIF 情報を含む JPEG 画像には誰が写っているでしょうか?

シークレットウインドウ

Chromeのシークレットウインドウを利用し、上記と同じ操作を行った状態でタイムラインを確認。(E4トラック事前学習の Chrome02_RAW.001)

f:id:hideakii:20170822202921p:plain

ウェブアクティビティから、セキュリティキャンプのサイトを閲覧した事を示す情報は何も確認できない。(キャッシュファイルの削除データ等も確認できない)

 シークレットモードでは痕跡を確認できませんが、通常のモードでブラウジングを行い、その後でブラウザの履歴を削除した場合は、どのような痕跡が確認できるでしょうか?