2008-04-08
■FireFox formhistory.dat ファイル
EnCase Forensic V6 ではブラウザ履歴の検索「Serch for internet history」と「Comprehensive search」を利用することで FireFox の履歴も検索され解析されてきます。
この解析結果のなかに、History⇒Forms の項目として、formhistory.dat の解析結果が表示されるのですが、そもそも formhistory.dat の書式がよくわからず Google で検索中だったりしてます。(そもそもは日本語文字列が正しく結果表示されているかの確認が目的だったのですが、脱線中です)
■デコードツール
検索してみたところ、Foundstone から DumpAutoComplete v0.7 というツールが提供されているようです。
DumpAutoComplete v0.7
Dump Firefox AutoComplete files into XML
http://www.foundstone.com/us/resources/proddesc/DumpAutoComplete.htm
ということで、早速試してみたのですが、残念ながら日本語文字列の部分は正常に抽出されてこないようです。ひょっとすると使い方を間違っている気がしないでもないですが、たぶんダメなんではないかと結果から勝手に思ってます。
■Morkフォーマット?
よくわからんですが、formhistory.dat ファイルの先頭に mdb:mork と書いてあるので mork で検索してみたところ、そいうフォーマット?があるんですね。Perl から普通にデコードできるみたいですけど、これ文字コードは何使ってるんだろ...
参考URLのメモ
http://qootas.org/blog/archives/2006/02/firefox_history.html
■ノートン Ghost のフォレンジック利用
以前に個人的にご質問いただいたこともあるのですが、何気に以下の記述があったので URL だけメモ。
Ghost as a forensic tool
http://www.forensickb.com/2008/03/ghost-as-forensic-tool.html
Ghost - Part Deux - How to detect its use
http://www.forensickb.com/2008/03/ghost-part-deux-how-to-detect-its-use.html
動画は非圧縮の Ghost イメージファイル(.gho)を EnCase に追加してパーティション情報を構成するまでの手順みたいですね。手元に Ghost ないので試せませんけど。
umq
2008/04/09 21:23
http://firefoxhacks.at.webry.info/200705/article_2.html
hideakii
2008/04/10 10:13
ありがとうございます!、幾つかツールもあるようですのでちょっと試してみたいと思いますが、なかなか面倒そうなフォーマット?ですねぇ。
