それぞれ、トリプルクリックするとパスを全選択できます。
履歴ファイルの格納場所
- Chrome の履歴ファイル
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History
- Firefox の履歴ファイル
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE_NAME]\places.sqlite
- IE10, IE11, Edge の履歴ファイル(保護されたオペレーティングシステムファイル)
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
- IE8, IE9 の履歴ファイル(保護されたオペレーティングシステムファイル)
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
WebCache や History.IE5 について(IE や Edge の履歴)
- エクスプローラーで表示するにはフォルダオプションから
「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックを外す必要があります。 - エクスプローラーからではアクセスできない場合があります。FTK Imager などを使って抽出します。
各履歴ファイルに対応するビューア
Chrome や Firefox
- DB Browser for SQLite
https://sqlitebrowser.org/
IE10, IE11 や Edge
- ESEDatabaseView - View/Open ESE Database Files (Jet Blue / .edb files)
http://www.nirsoft.net/utils/ese_database_view.html
IE8 や IE9
IEHist | cqure.net(現在はリンク切れ)
http: // www.cqure . net/wp/tools/forensics/iehist/
iehist.exe index.dat > out.txt
(追記:2021年1月31日)
上記ツールの代わりに、恐らくは以下のツールで閲覧できると思いますが未検証です。
- IE HistoryView: Freeware Internet Explorer History Viewer
https://www.nirsoft.net/utils/iehv.html
# e.g. iehv -folder "c:\Documents and Settings\Administrator\Local Settings\History"
付録
Windows Forensic Analysis ポスターの日本語翻訳版
2019年8月8日 頃に SANS から Windows に関するフォレンジックのポスターの日本語版がリリースされています。 フォレンジックに有用な情報や様々なアーティファクトのパスが網羅されています。
- SANS Institute
https://www.sans.org/security-resources/posters/dfir/windows-forensic-analysis-japanese-translation-185
参考文献
SANS - Information Security Resources
https://www.sans.org/security-resources/posters/dfir/windows-forensics-evidence-of-75(2023/01/10:削除されていました)Internet Explorer History File Format - Forensics Wiki
https://forensicswiki.xyz/wiki/index.php?title=Internet_Explorer_History_File_Format【レビュー】多くのMicrosoft製品で使われているESEデータベースを閲覧できる「ESEDatabaseView」 - 窓の杜
https://forest.watch.impress.co.jp/docs/review/707287.html「DB Browser for SQLite」“SQLite”のデータベースを管理できるソフト - 窓の杜
https://forest.watch.impress.co.jp/library/software/sqldbbrowser/Product Downloads | AccessData
https://accessdata.com/product-downloadFTK Imager Version 4.5 | AccessData
https://accessdata.com/product-download/ftk-imager-version-4-5
更新履歴
- 2019/06/17 新規作成
- 2020/05/23 SANS ポスターの日本語版について付録で追記。参考文献の「Forensics Wiki」のドメインが .org から .xyz に変わっていたので修正。 冒頭にパスの全選択に関する記述を追記。
- 2021/01/31 IEHist へのリンクが切れていたので反映。IE HistoryView について追記。製品の取り扱いが終了していたので FTK Imager のリンクを フォーカスシステムズ から AccessData に修正。
- 2023/01/10 一部リンク切れの旨を追記
