本文介绍了如何使用AccessData FTK Imager挂载硬盘,并通过分析Documents and Settings目录下的History.IE5文件夹中的index.dat来获取用户的访问网站记录。index.dat是一个存储用户浏览历史、搜索字符串和最近打开文件的数据库。通过记事本打开并搜索特定前缀(如19开头的网址),可以进行取证分析。
根据题意
进入环境,下载文件,用AccessData FTK Imager挂载
依次打开([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat,index.dat是一个由Internet Explorer和资源管理器创建的文件。这个文件的功能就像一个数据库,随系统启动。它的功能在于收集个人信息,就像网址,搜索字符串,和最近打开的文件。它的职责就像数据库中的索引。简单来说,当IE开启自动完成,每一个浏览过的网址将被收录进index.dat,IE浏览器据此匹配用户输入的字符。index.dat也同样存在于IE的历史纪录,缓存,和cookies.
记事本打开,搜索网址,猜想是19开头的,验证网址得到key
最低0.47元/天 解锁文章
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
