Webブラウザ閲覧履歴 - 適宜覚書-Fragments

Webブラウザ閲覧履歴

      2017/03/02

Webブラウザ閲覧履歴は一般的には以下のパスにユーザ毎に作成される。以下はWindows2000以降のOSでのパス。

  • IEの場合
    • 一時ファイル(キャッシュ):C:\Documents and Settings\{OSのユーザプロファイル}\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    • 履歴:C:\Documents and Settings\{OSのユーザプロファイル}\Local Settings\History\History.IE5\index.dat
    • Cookie:C:\Documents and Settings\{OSのユーザプロファイル}\Cookies\index.dat
  • Firefoxの場合
    • C:\Documents and Settings\{OSのユーザプロファイル}\Application Data\Mozilla\Firefox\Profiles\{ランダムな文字列}\history.dat
  • その他Mozilla/Netscape系ブラウザの場合
    • C:\Documents and Settings\{OSのユーザプロファイル}\Application Data\Mozilla\Profiles\{ブラウザの個人プロファイル}\{ランダムな文字列}\history.dat

IEの場合ファイル名は全てindex.datでMozilla系ブラウザの場合はhistory.datになる。IEのキャッシュのパスにあるHistory.IE5やContent.IE5は、現在ログインしているユーザのプロファイルでは内容を確認出来ない。その場合History.IE5は、今日・月曜日・先週・2週間前・3週間前というフォルダで各ドメイン毎の各ページといった入れ子で表示される。Content.IE5は、キャッシュの画像やテキストその他様々な構成要素ファイルが表示される。つまり、index.datという形でデータを取得するには他のユーザでローカル管理者権限を有するアカウントでログオンする必要がある。

頼る裏づけの文書は無いが、恐らくはそのユーザとしてログオンした場合、バイナリファイルであるindex.datを可読性の高い内容でレンダリングされて表示されているのかな?それにしても不思議なのはIE6にしてようがこのフォルダ名はIE5なんだな。謎だなあ。多分IE5あたりで決まってそのまま何も考えずにフォルダ名を継承したとか?そんないい加減なことはないか。

PascoでIE履歴を纏めてみる

PascoはIEの利用履歴を纏めるCUIのフォレンジックツールだ。残念ながら、他のブラウザには利用出来ない。しかし、使い方は簡単だ。

出力項目は

  • Type(履歴内容の種類) - ブラウズされたURLか他サイトからリダイレクトされた先のウェブサイト
  • URL - 訪問した実際のウェブサイトのURL
  • Modified Time(最終変更日時) - ウェブサイトの最終変更日時
  • Access Time(アクセスした日時) - ユーザがウェブサイトをブラウズした日時
  • Filename(ファイル名) - 列挙されたURLのコピーを含むローカルファイル名
  • Directory - 上記ファイルを含むローカルのディレクトリ
  • HTTP Headers(HTTPヘッダ) - URLをブラウズした際ユーザが受け取るHTTPヘッダデータ

俺パスコって聞くと、食パンのイメージの方が先行する。むー。

Web HistorianでIE以外も含めてブラウザの閲覧履歴を纏めてみる

Red Cliff Web Historianもブラウザの閲覧履歴を確認できる。違うのはGUIであることと対応ブラウザがIEのみならず、Mozilla、Firefox、Netscape、Opera、 Safari (Apple OS X)に対応するところだ。また、出力形式もEXCELファイル、HTML、CSV(デリミタ区切り)を選択出来る。

ちょっと嬉しい機能として対象のdatファイルは直接選択することも出来るが、上位フォルダを指定することで自動で該当の履歴ファイルを検索して実行してくれるのと、複数ブラウザを同時に対象と出来る。監査等の場合、ユーザが任意にデータを動かしたりファイル名を変えたりしていても(普通そういうことはしないと思うが)複数のブラウザの閲覧履歴を一表に纏めることが出来手軽で良いように思う。

Excel、HTMLで出力した場合各履歴データはキャッシュファイルへのリンクが組み込まれており、実際に過去に見たページの再現(或いはその一部分)を表示させることが出来る。

類似機能のソフトは探せば幾らでもあるんじゃないかと思う(探してないので適当に言っているけど)。後、逆にキャッシュを綺麗に消そうというツールもよく見かける。プライバシ保護・セキュリティ面でそういう機能が求められているというよりは、キャッシュファイルが必要以上に使わないまま溜まってしまうことへの対処という感じみたい。

適宜覚書-Fragmentsは、筆者が興味をもった様々な情報やネタを筆者が忘れても後で思い出せるよう覚書として公開するBlogです。Google Chrome拡張、Facebook、Google、Twitter、Windows、各種Webアプリなどを扱うことが多いです。この覚書が、もし何かお役立ちになれば幸いです。

 - Windows, 覚書 , , , ,