IEのクッキーについて - 適宜覚書-Fragments

IEのクッキーについて

      2017/03/02

ファイル形式

IEのクッキーファイルの形式を見てみる。例えば以下は実際にmoge@zdnet.co[1].txtを開いた中身だ。(もう消しちゃったけど)

通常、Windows 2000/XPの場合、クッキーはWindows 2000/XP C:\Documents and Settings\<username>\Cookies内に、Windows 95/98/MEの場合はC:\Windows\Cookiesにある。順番に意味合いを見ていくと

FILETIME形式は、1601 年 1 月 1 日午前 12 時からの 100 ナノ秒間隔の数を表す 64 ビット値( UTC )が格納される…(なんか難しそうだ)。

1ドメイン当たりIEでは20組まで保存できるらしい。

Galletaでパースしてみる

GalletaはIEのクッキーをフォレンジック分析に使うツールである。シンプルな構文で以下のように使う。

例えば、一つのクッキーファイルに複数組のデータがある場合は、これでタブ区切りやカンマ区切りで出力して表計算ソフトで読んだ方が可読性が高い。バッチファイルを作って、Cookiesフォルダのデータを全部吐き出して列挙表示させて変なデータがあるかどうか見るなんて使い方を想定できる。

後、このツールで有難いのは、CREATION TIMEとEXPIRE TIMEのそれぞれにある二値を読みやすい形に直してくれているところだ。目で見てすぐ分からないとちょっと辛いからなあ。元の値でパッと分かるならそれにこしたことは無いかもしれないが…。

ある文書の抜き出しテケトー訳。飽きなければ続きます。

適宜覚書-Fragmentsは、筆者が興味をもった様々な情報やネタを筆者が忘れても後で思い出せるよう覚書として公開するBlogです。Google Chrome拡張、Facebook、Google、Twitter、Windows、各種Webアプリなどを扱うことが多いです。この覚書が、もし何かお役立ちになれば幸いです。

 - Windows, ツール, 覚書 ,