电⼦数据取证技术应⽤--浏览器电子取证-IE浏览器.docVIP

浏览器电子取证-IE浏览器

【实验目的】

1)了解传统IE浏览器（IE5.0~9.0版本）的取证内容及方式

【实验原理】

1)网页浏览活动经常需要调查的内容主要有：上网访问历史记录（访问过的站点地址列表、次数、最后访问时间等）、缓存（Cache）、Cookies、收藏夹（Favorites）。

2)不同的IE浏览器版本存在一些细微的差异，IE浏览器从版本IE5~IE9采用了相同的工作机制及数据存储方式，IE10以上版本则采用了全新的存储机制。

【实验环境】

WindowsServer2008

【实验步骤】

一、上网访问历史记录

1.1IE浏览器会将所有访问过的站点各个页面的URL地址记录到用户配置文件夹下History文件夹中，以浏览时间为序列列出最近浏览过的浏览点，所有的URL地址链接和各种访问的详细信息都存储在名为Index.dat的索引文件中。

1.2通常情况下，对历史记录的取证应通过静态离线取证的方式进行，这样看到的文件目录结构往往与操作系统正在运行的情况下看到的有所差异。Windows操作系统正在运行的情况下，对数据的读取访问做了特殊处理，因此看到的信息都是经过处理后的内容。在本实验环境中，History文件夹位置为“C:\Users\Administrator\AppData\Local\Microsoft\Windows\History”（History