Формат файла истории Internet Explorer

1. обзор
2. MSIE 5 - 9
3. Записи URL
4. РЕДР Рекордс
5. HASH Records
6. Смотрите также

Пожалуйста, помогите улучшить эту статью, расширив ее.
Дополнительную информацию можно найти на страница обсуждения ,

Microsoft Internet Explorer

(или MSIE) хранит свою историю просмотра веб-страниц в файлах с именем index.dat с версии 4 до версии 9.

обзор

По своей структуре эти файлы index.dat являются файлами кэша, но используются для:

• вести учет URL-адресов, которые посетил браузер
• куки, которые были созданы сайтом
• временные интернет-файлы, которые были загружены в кеш во время посещения в размере

Независимо от информации, хранящейся в файле, файл называется index.dat.

Обратите внимание, что не каждый файл с именем index.dat является файлом MSIE History (Cache).

Формат файла MSIE 4 немного отличается от формата MSIE 5 до 9. Большая часть информации на этой странице относится к формату, используемому MSIE 5 - 9.

MSIE 3, вероятно, использует аналогичные записи в своих файлах History (Cache).

Файлы index.dat хранятся в нескольких местах.

MSIE 5 - 9

Фактическое местоположение может варьироваться в зависимости от версии MSIE и версии Windows ,

В Windows 95/98 эти файлы были расположены в следующих местах:

% systemdir% \ Temporary Internet Files \ Content.ie5% systemdir% \ Cookies% systemdir% \ History \ History.ie5

В Windows 2000 / XP расположение файлов изменилось:

% systemdir% \ Documents and Settings \% username% \ Local Settings \ Temporary Internet Files \ Content.ie5% systemdir% \ Documents and Settings \% username% \ Cookies% systemdir% \ Documents and Settings \% username% \ Local Settings \ История \ history.ie5

В Windows Vista / 7

% systemdir% \ Users \% username% \ AppData \ Local \ Microsoft \ Windows \ Временные интернет-файлы \% systemdir% \ Users \% username% \ AppData \ Local \ Microsoft \ Windows \ Временные интернет-файлы \ Low \

Internet Explorer также ведет ежедневные, еженедельные и ежемесячные журналы истории, которые будут находиться в подкаталоге глобальной истории, например, в Windows XP:

% systemdir% \ Documents and Settings \% username% \ Local Settings \ History \ history.ie5

Папки будут называться MSHist <двухзначное число> <начальный четырехзначный год> <начальный двухзначный месяц> <начальный двухзначный день> <конечный четырехзначный год> <конечный двузначный месяц> <заканчивающийся двумя день> Например, папка, содержащая данные с 26 марта 2008 г. по 27 марта 2008 г., может называться MSHist012008032620080327.

Файл журнала MSIE 4 (Cache) начинается со следующей строки ACSII: «Client UrlCache MMF Ver 4.7»

Файл MSIE 5 - 9 History (Cache) начинается со следующей строки ACSII: «Client UrlCache MMF Ver 5.2»

За этой строкой (или подписью) следует (с байтовым смещением 28) четырехбайтовое значение, содержащее размер файла. Значение хранится в прямой порядок байтов поэтому отдельные байты должны читаться в обратном порядке.

Заголовок файла также может содержать имя каталогов кеша. В записях URL-адресов каталоги кеша задаются в виде числа, при этом один представляет первый каталог кеша, два - второй и т. Д. Имена каталогов кэша хранятся со смещением 64 байта в файле. Каждая запись каталога имеет длину 12 байтов, из которых первые восемь байтов содержат имя каталога.

Файл истории IE содержит растровое изображение распределения, начиная со смещения от 0x250 до 0x4000.

Каждая запись имеет аналогичный заголовок, который состоит из 8 байтов.

typedef struct _RECORD_HEADER {/ * 000 * / char Подпись [4]; / * 004 * / uint32_t NumberOfBlocksInRecord; } RECORD_HEADER; Размер записи можно определить по количеству блоков в записи; по умолчанию размер блока составляет 128 байт. Следовательно, длина 05 00 00 00 будет указывать пять блоков (поскольку число хранится в формате с прямым порядком байтов) из 128 байтов для общей длины записи 640 байтов. Обратите внимание, что даже для распределенных записей на количество блоков нельзя полагаться полностью.

Блоки, составляющие запись, могут иметь свободное пространство.

В настоящее время известны 4 типа записей:

Обратите внимание, что строки местоположения и имени файла хранятся в локальной кодовой странице, обычно эти строки будут использовать только набор символов ASCII. Известно, что китайские версии Windows также используют расширенные символы.

Записи URL

Эти записи указывают URI, которые были фактически запрошены. Они содержат местоположение и дополнительные данные, такие как HTTP-ответ веб-сервера. Они начинаются с заголовка в шестнадцатеричном формате:

55 52 4C 20

Это соответствует строке URL, за которой следует пробел.

Определение структуры в формате C99:

typedef struct _URL_RECORD_HEADER {/ * 000 * / char Подпись [4]; / * 004 * / uint32_t AmountOfBlocksInRecord; / * 008 * / FILETIME LastModified; / * 010 * / FILETIME LastAccessed; / * 018 * / FATTIME Истекает; / * 01c * / // Еще не закончено} URL_RECORD_HEADER; typedef struct _FILETIME {/ * 000 * / uint32_t ниже; / * 004 * / uint32_t верхний; } FILETIME; typedef struct _FATTIME {/ * 000 * / uint16_t date; / * 002 * / время uint16_t; } FATTIME;

Фактическая интерпретация полей «LastModified» и «LastAccessed» зависит от типа файла истории, в котором содержится запись. На самом деле, Internet Explorer использует три разных типа файлов истории, а именно: ежедневную историю, еженедельную историю и основную историю. Другие файлы «index.dat» используются для хранения кэшированных копий посещенных страниц и файлов cookie. Информацию о том, как интерпретировать даты этих различных файлов, можно найти на веб-странице капитана Стива Бантинга в Лаборатории компьютерной криминалистики Университета штата Делавэр ( http://www.stevebunting.org/udpd4n6/forensics/index_dat2.htm ). Помните, что большинство бесплатных и / или программ с открытым исходным кодом для разбора index.dat, а также довольно много коммерческих инструментов криминалистической экспертизы не могут правильно интерпретировать вышеуказанные даты. Более конкретно, они интерпретируют все время и даты, как если бы записи содержались в файле ежедневной истории, независимо от фактического типа файла, в котором они хранятся.

РЕДР Рекордс

Записи REDR - это очень простые записи. Они просто указывают, что браузер был перенаправлен на другой сайт. Записи REDR всегда начинаются со строки REDR (0x52 45 44 52). Следующие четыре байта - это размер записи в формате с прямым порядком байтов. Размер укажет количество 128-байтовых блоков.

По смещению 8 от начала записи REDR находится неизвестное поле данных. Было подтверждено, что это не поле даты.

16 байтов в записи REDR - это URL, который был посещен в строке с нулевым символом в конце. После URL-адреса запись REDR представляется заполненной нулями до конца 128-байтового блока.

HASH Records

LEAK Records

Точное назначение записей LEAK остается неизвестным, однако исследование, проведенное Майком Мурром, показывает, что записи LEAK создаются, когда аппарат пытается удалить записи из файла истории, пока соответствующий временный файл Интернета (TIF) остается открытым и не может быть удален.

Смотрите также

Внешняя ссылка

• Что находится в файлах Index.dat
• Спецификация формата MSIE Cache File (index.dat) , посредством проект libmsiecf
• База знаний по цифровым детективам: Internet Explorer
• Понимание файлов index.dat - часть 1 Стивен М. Бантинг
• Понимание файлов index.dat - часть 2 Стивен М. Бантинг
• Детальный анализ формата файла index.dat Кит Джонс, 19 марта 2003 г.
• Значение записей LEAK , Майк Мурр 10 сентября 2009 г.
• Microsoft Internet Explorer PrivacIE Записи от Digital Detective, 29 апреля 2010 г.
• Формат файла INDEX.DAT , от Джефф Чаппелл 13 сентября 2010 г.
• Алгоритм хеширования для кеширования URL , от Джефф Чаппелл 20 сентября 2010 г.
• Учебник по временным интернет-файлам Эрик Лоу, 19 марта 2011 г.

инструменты

Похожие