Windows ‘index.dat’ Parser (id)
둘러보기로 가기
검색하러 가기
소개[편집]
TZWorks의 id는 커맨드 라인 버전의 index.dat 파서이다. index.dat 파일은 웹 URL, 검색 쿼리, 최근 연 파일 등의 정보들이 저장되는, 일종의 데이터베이스 역할을 하는 파일이다. Internet Explorer는 9이하 버전에서 히스토리, 방문한 URL, 쿠키를 index.dat에 저장한다.
id 실행 화면은 [그림 1]과 같다.
사용법[편집]
id는 [표 1]처럼 3개의 옵션을 제공한다.
| 옵션 | 설명 |
|---|---|
| -f <file> | 지정한 index.dat 파일을 파싱하여 csv 형식으로 출력 |
| -partition <drive letter> | 지정한 드라이브에서 index.dat 파일을 검색하고 파싱하여 csv 형식으로 출력 |
| -vmdk “<file1> | <file2> | ...” | VMware 디스크 이미지에서 index.dat 파일을 검색하고 파싱하여 csv 형식으로 출력 |
id는 기본적으로 실행 결과를 화면에 출력하기 때문에 파일로 저장하기 위해서는 [그림 2]처럼 csv 파일로 리다이렉션을 해야 한다.
도구 기능[편집]
id가 파싱하는 정보는 [표 2]와 같다.
| 항목 | 설명 |
|---|---|
| Last Mod Date | 최종 수정 날짜 |
| Last Mod Time | 최종 수정 시간 |
| Access Date | 접근 날짜 |
| Access Time | 접근 시간 |
| Expires Date | 만료 날짜 |
| Expires Time | 만료 시간 |
| Last Sync Date | 최종 동기화 날짜 |
| Last Sync Time | 최종 동기화 시간 |
| Type | URL : 정상적인 URL이 있는 레코드 LEAK : URL이 없는 레코드 REDR : 리다이렉션되는 URL이 있는 레코드 |
| Url | 방문한 URL 또는 파일을 다운로드한 URL |
| User | 사용자 |
| Filename | 파일명 |
| File Size | 파일 크기 |
| Directory | 임시 파일이 저장되는 디렉터리명 |
| HTTP Header | HTTP 헤더 |
| index.dat Filename | 입력으로 사용한 파일명 또는 드라이브명 |
제한사항[편집]
Internet Explorer 10 이상 버전에서는 인터넷 로그를 index.dat 파일에 저장하지 않기 때문에 id를 사용할 수 없다. 또한 id는 카빙 기능이나 검색 기능 등의 추가적인 기능이 없다는 단점이 있다.
수사 활용 방안[편집]
id는 별도의 설치가 필요 없는 CLI 도구이기 때문에 Internet Explorer 9 이하 버전이 설치된 시스템에 대한 초기 수사 시 활용될 수 있다.
