setodaNote

忘れる用のメモ書き for Cybersecurity

Webブラウザの履歴ファイルの格納場所とビューア

それぞれ、トリプルクリックするとパスを全選択できます。

履歴ファイルの格納場所

  • Chrome の履歴ファイル
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\History
  • Firefox の履歴ファイル
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\[PROFILE_NAME]\places.sqlite
  • IE10, IE11, Edge の履歴ファイル(保護されたオペレーティングシステムファイル)
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
  • IE8, IE9 の履歴ファイル(保護されたオペレーティングシステムファイル)
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

WebCache や History.IE5 について(IE や Edge の履歴)

  • エクスプローラーで表示するにはフォルダオプションから
    「保護されたオペレーティングシステムファイルを表示しない(推奨)」のチェックを外す必要があります。
  • エクスプローラーからではアクセスできない場合があります。FTK Imager などを使って抽出します。

各履歴ファイルに対応するビューア

Chrome や Firefox

IE10, IE11 や Edge

IE8 や IE9

  • IEHist | cqure.net (現在はリンク切れ)
    http: // www.cqure . net/wp/tools/forensics/iehist/
iehist.exe index.dat > out.txt

(追記:2021年1月31日)
上記ツールの代わりに、恐らくは以下のツールで閲覧できると思いますが未検証です。

# e.g.
iehv -folder "c:\Documents and Settings\Administrator\Local Settings\History"

付録

Windows Forensic Analysis ポスターの日本語翻訳版

2019年8月8日 頃に SANS から Windows に関するフォレンジックのポスターの日本語版がリリースされています。 フォレンジックに有用な情報や様々なアーティファクトのパスが網羅されています。

参考文献

更新履歴

  • 2019/06/17 新規作成
  • 2020/05/23 SANS ポスターの日本語版について付録で追記。参考文献の「Forensics Wiki」のドメインが .org から .xyz に変わっていたので修正。 冒頭にパスの全選択に関する記述を追記。
  • 2021/01/31 IEHist へのリンクが切れていたので反映。IE HistoryView について追記。製品の取り扱いが終了していたので FTK Imager のリンクを フォーカスシステムズ から AccessData に修正。