Advertisement
Ie cache data
Report
彰 村地Follow
IT スペシャリスト at 株式会社シーピーエスJul. 20, 2012•0 likes•2,968 views
2 likes
Be the first to like this
Show More
views
Total views
0
On Slideshare
0
From embeds
0
Number of embeds
0
![Amazing grace[1]](https://cdn.slidesharecdn.com/ss_thumbnails/amazinggrace1-101019233901-phpapp02-thumbnail.jpg?width=600&height=600&fit=bounds)
Ie cache data
Jul. 20, 2012•0 likes•2,968 views
2 likes
Be the first to like this
Show More
views
Total views
0
On Slideshare
0
From embeds
0
Number of embeds
0
Download to read offline
Report
Technology
まっちゃ445 勉強会 めざましの会の LT 資料
彰 村地Follow
IT スペシャリスト at 株式会社シーピーエスAdvertisement
Ie cache data
- IE のキャッシュの オフライン調査について 村地 彰 aka hebikuzure
- Internet Explorer のキャッシュ ここ
- ファイルを表示させると
- 実体は… Windows Vista 以降の場合 • 保護モード無効のキャッシュ %userprofile%¥AppData¥Local ¥Microsoft¥Windows ¥Temporary Internet FilesContent.IE5 • 保護モード有効のキャッシュ %userprofile%¥AppData¥Local ¥Microsoft¥Windows ¥Temporary Internet FilesLow Content.IE5
- なぜ Content.IE5 ?? • Internet Explorer のキャッシュ データ構 造は IE5 から変わっていないため •IE5 ??? •13年間不変の テクノロジー(^_^.)
- Content.IE5 の中身 • index.dat – インデックスファイル • キャッシュ フォルダ – ランダムな英数8文字の名前のフォルダ – フォルダ内の一時ファイルの実データ ファイ ルを格納
- こんな感じ
- さらにフォルダ内を見る
- キャッシュの情報はどこに? • 実データ ファイル – ダウンロードされたコンテンツ そのも のがファイルとして保存されている • Temporary Internet Files には「インター ネット アドレス」「有効期限日時」「最 終変更日時」「最終アクセス日時」「最 終チェック日時」などが表示される – これらの情報はどこに??
- 情報は index.dat にある • index.dat – バイナリ ファイル – データ構造は非公開 – データにアクセスする API (WinInet API) が公開されている 中身が見たい
- 注意事項 • ログオンしているユーザーの index.dat は システム プロセスがロックしているので 普通には開けない • 不用意に書き換えるとキャッシュが壊れ て不具合が生じる • 別のユーザーでログオンするか、別のシ ステムでブートして、index.dat をコピー してから開く
- バイナリ エディタで開く 何か 見える
- 中身を確認 シグネチャ フォルダ名
- さらに確認 何か出た アドレス? ヘッダー?
- 分かる事 • index.dat はバイナリ情報が含まれている が、テキストがそのまま記録されている 部分もある • 基本的な情報はテキストを抽出するだけ でも取得できる (strings とか)
- 詳しい人いた~\(◎o◎)/! • この人 • The INDEX.DAT File Format http://www.geoffchappell.com/studies/ windows/ie/wininet/api/urlcache/index dat.htm
- The INDEX.DAT File Format • index.dat のファイル構造を解析して公開 しています • 某中の人によれば、ここに書いてある内 容は「正しいと考えられる」だそうです • 実際に採取した index.dat は、この解析結 果の通りの構造でした • と言う事で、キャッシュの静的解析をす るなら必読
- 同じような解析情報 • Internet Explorer History File Format http://www.forensicswiki.org/wiki/Inte rnet_Explorer_History_File_Format • MSIE Cache File (index.dat) format.pdf http://sourceforge.net/projects/libmsiecf /files/Documentation/MSIE%20Cache%2 0File%20format/
- その他の参考情報 • A bit about WinInet's Index.dat http://blogs.msdn.com/b/wndp/archive /2006/08/04/wininet-index-dat.aspx • A bit about WinInet's Index.dat – Q&A http://blogs.msdn.com/b/wndp/archive /2006/08/07/wininet-index-dat-q-and- a.aspx
- つづき • Internet Explorer 一時ファイルが肥大化する http://blogs.technet.com/b/jpieblog/arc hive/2011/09/09/3452071.aspx
- さらにこんなツールも… • Index Dat Spy http://www.stevengould.org/index.php? option=com_content&task=view&id=47&I temid=88 • Index.dat Viewer http://www.acesoft.net/index.dat%20vie wer/index.dat_viewer.htm • libmsiecf http://sourceforge.net/projects/libmsiecf/
- ありがとうございました • ブラウザー勉強会 – 開催準備中 • ネットワーク パケットを読む会(仮) – 7/30 に第10回を開催します – 「パケット解析を通じたマルウェア追跡」ほか – http://atnd.org/event/pakeana10
Advertisement