ie cache data
DESCRIPTION
まっちゃ445 勉強会 めざましの会の LT 資料TRANSCRIPT
IE のキャッシュのオフライン調査について
村地 彰 aka hebikuzure
Internet Explorer のキャッシュ
ここ
ファイルを表示させると
実体は…
Windows Vista 以降の場合• 保護モード無効のキャッシュ
%userprofile%\AppData\Local \Microsoft\Windows \Temporary Internet Files\Content.IE5
• 保護モード有効のキャッシュ%userprofile%\AppData\Local \Microsoft\Windows \Temporary Internet Files\Low \Content.IE5
なぜ Content.IE5 ??
• Internet Explorer のキャッシュ データ構造は IE5 から変わっていないため
•IE5 ???•13 年間不変のテクノロジー (^_^.)
Content.IE5 の中身
• index.dat–インデックスファイル
• キャッシュ フォルダ–ランダムな英数 8 文字の名前のフォルダ–フォルダ内の一時ファイルの実データ ファ
イルを格納
こんな感じ
さらにフォルダ内を見る
キャッシュの情報はどこに ?
• 実データ ファイル–ダウンロードされたコンテンツ そのも
のがファイルとして保存されている• Temporary Internet Files には「イン
ターネット アドレス」「有効期限日時」「最終変更日時」「最終アクセス日時」「最終チェック日時」などが表示される–これらの情報はどこに ??
情報は index.dat にある
• index.dat–バイナリ ファイル–データ構造は非公開–データにアクセスする API (WinInet
API) が公開されている
中身が見たい
注意事項
• ログオンしているユーザーの index.dat はシステム プロセスがロックしているので普通には開けない
• 不用意に書き換えるとキャッシュが壊れて不具合が生じる
• 別のユーザーでログオンするか、別のシステムでブートして、 index.dat をコピーしてから開く
バイナリ エディタで開く
何か見える
中身を確認
シグネチャ
フォルダ名
さらに確認
何か出た
アドレス ?
ヘッダー ?
分かる事
• index.dat はバイナリ情報が含まれているが、テキストがそのまま記録されている部分もある
• 基本的な情報はテキストを抽出するだけでも取得できる (strings とか )
詳しい人いた~\ (◎o◎) /!
• この人
• The INDEX.DAT File Formathttp://www.geoffchappell.com/studies/windows/ie/wininet/api/urlcache/indexdat.htm
The INDEX.DAT File Format
• index.dat のファイル構造を解析して公開しています
• 某中の人によれば、ここに書いてある内容は「正しいと考えられる」だそうです
• 実際に採取した index.dat は、この解析結果の通りの構造でした
• と言う事で、キャッシュの静的解析をするなら必読
同じような解析情報
• Internet Explorer History File Formathttp://www.forensicswiki.org/wiki/Internet_Explorer_History_File_Format
• MSIE Cache File (index.dat) format.pdfhttp://sourceforge.net/projects/libmsiecf/files/Documentation/MSIE%20Cache%20File%20format/
その他の参考情報
• A bit about WinInet's Index.dathttp://blogs.msdn.com/b/wndp/archive/2006/08/04/wininet-index-dat.aspx
• A bit about WinInet's Index.dat – Q&Ahttp://blogs.msdn.com/b/wndp/archive/2006/08/07/wininet-index-dat-q-and-a.aspx
つづき
• Internet Explorer 一時ファイルが肥大化するhttp://blogs.technet.com/b/jpieblog/archive/2011/09/09/3452071.aspx
さらにこんなツールも…
• Index Dat Spyhttp://www.stevengould.org/index.php?option=com_content&task=view&id=47&Itemid=88
• Index.dat Viewerhttp://www.acesoft.net/index.dat%20viewer/index.dat_viewer.htm
• libmsiecfhttp://sourceforge.net/projects/libmsiecf/
ありがとうございました
• ブラウザー勉強会–開催準備中
• ネットワーク パケットを読む会 ( 仮 )– 7/30 に第 10 回を開催します–「パケット解析を通じたマルウェア追跡」ほ
か– http://atnd.org/event/pakeana10