Ie cache data

IE のキャッシュのオフライン調査について

村地彰 aka hebikuzure

Internet Explorer のキャッシュ

ここ

ファイルを表示させると

実体は…

Windows Vista 以降の場合• 保護モード無効のキャッシュ

%userprofile%\AppData\Local \Microsoft\Windows \Temporary Internet Files\Content.IE5

• 保護モード有効のキャッシュ%userprofile%\AppData\Local \Microsoft\Windows \Temporary Internet Files\Low \Content.IE5

なぜ Content.IE5 ??

• Internet Explorer のキャッシュデータ構造は IE5 から変わっていないため

•IE5 ???•13 年間不変のテクノロジー (^_^.)

Content.IE5 の中身

• index.dat–インデックスファイル

• キャッシュフォルダ–ランダムな英数 8 文字の名前のフォルダ–フォルダ内の一時ファイルの実データファ

イルを格納

こんな感じ

さらにフォルダ内を見る

キャッシュの情報はどこに ?

• 実データファイル–ダウンロードされたコンテンツそのも

のがファイルとして保存されている• Temporary Internet Files には「イン

ターネットアドレス」「有効期限日時」「最終変更日時」「最終アクセス日時」「最終チェック日時」などが表示される–これらの情報はどこに ??

情報は index.dat にある

• index.dat–バイナリファイル–データ構造は非公開–データにアクセスする API (WinInet

API) が公開されている

中身が見たい

注意事項

• ログオンしているユーザーの index.dat はシステムプロセスがロックしているので普通には開けない

• 不用意に書き換えるとキャッシュが壊れて不具合が生じる

• 別のユーザーでログオンするか、別のシステムでブートして、 index.dat をコピーしてから開く

バイナリエディタで開く

何か見える

中身を確認

シグネチャ

フォルダ名

さらに確認

何か出た

アドレス ?

ヘッダー ?

分かる事

• index.dat はバイナリ情報が含まれているが、テキストがそのまま記録されている部分もある

• 基本的な情報はテキストを抽出するだけでも取得できる (strings とか )

詳しい人いた～＼ (◎o◎) ／！

• この人

• The INDEX.DAT File Formathttp://www.geoffchappell.com/studies/windows/ie/wininet/api/urlcache/indexdat.htm

http://www.geoffchappell.com/studies/windows/ie/wininet/api/urlcache/indexdat.htm

The INDEX.DAT File Format

• index.dat のファイル構造を解析して公開しています

• 某中の人によれば、ここに書いてある内容は「正しいと考えられる」だそうです

• 実際に採取した index.dat は、この解析結果の通りの構造でした

• と言う事で、キャッシュの静的解析をするなら必読

同じような解析情報

• Internet Explorer History File Formathttp://www.forensicswiki.org/wiki/Internet_Explorer_History_File_Format

• MSIE Cache File (index.dat) format.pdfhttp://sourceforge.net/projects/libmsiecf/files/Documentation/MSIE%20Cache%20File%20format/

http://www.forensicswiki.org/wiki/Internet_Explorer_History_File_Format

http://sourceforge.net/projects/libmsiecf/files/Documentation/MSIE%20Cache%20File%20format/

その他の参考情報

• A bit about WinInet's Index.dathttp://blogs.msdn.com/b/wndp/archive/2006/08/04/wininet-index-dat.aspx

• A bit about WinInet's Index.dat – Q&Ahttp://blogs.msdn.com/b/wndp/archive/2006/08/07/wininet-index-dat-q-and-a.aspx

http://blogs.msdn.com/b/wndp/archive/2006/08/04/wininet-index-dat.aspx

http://blogs.msdn.com/b/wndp/archive/2006/08/07/wininet-index-dat-q-and-a.aspx

つづき

• Internet Explorer 一時ファイルが肥大化するhttp://blogs.technet.com/b/jpieblog/archive/2011/09/09/3452071.aspx

http://blogs.technet.com/b/jpieblog/archive/2011/09/09/3452071.aspx

さらにこんなツールも…

• Index Dat Spyhttp://www.stevengould.org/index.php?option=com_content&task=view&id=47&Itemid=88

• Index.dat Viewerhttp://www.acesoft.net/index.dat%20viewer/index.dat_viewer.htm

• libmsiecfhttp://sourceforge.net/projects/libmsiecf/

http://www.stevengould.org/index.php?option=com_content&task=view&id=47&Itemid=88

http://sourceforge.net/projects/libmsiecf/

http://www.acesoft.net/index.dat%20viewer/index.dat_viewer.htm

ありがとうございました

• ブラウザー勉強会–開催準備中

• ネットワークパケットを読む会 ( 仮 )– 7/30 に第 10 回を開催します–「パケット解析を通じたマルウェア追跡」ほ

か– http://atnd.org/event/pakeana10

Ie cache data

Technology

Transcript of Ie cache data