Всем привет.
Хочу заметить что в процессе исследования компьютерных следов чьих-то действий следует быть максимально подозрительным. И проверять результаты поиска с разных инструментов сопоставляя их между собой.
Доверяй но проверяй!
Свежий пример.
Вы наверное знаете что в историю вашего web-браузера Internet Explorer попадает вся хронология открытия файлов на вашем ПК. Даже если он у вас установлен не по умолчанию. Такая вот тесная интеграция IE в оболочку Windows.
Итак берем BrowsingHistoryView от NirSoft и читаем нашу историю. Лично у меня не было повода не доверять результатам этого инструмента.
Выбираем файл Bellydancer.jpg который я открывал 22-го числа.
Сведения по файлу следующие:
URL : file:///D:/vix/111/Bellydancer.jpg
Title :
Visit Time : 22.08.2018 14:52:37
Visit Count : 15
Visited From :
Web Browser : Internet Explorer 10
User Profile :
Browser Profile
Вот тут возникает вопрос - как читать время обращения до секунды если указано что файл открывался 15 раз?
Более того BrowsingHistoryView считает что это был IE 10-й версии. Ну точно нет. 10-го там не было никогда. IE там остановился на 8-й версии.
Тогда я решил проверить тот же файл своим кодом, а именно утилитой IEHistoryView. Как видите, она мне показала другое время обращения, которое даже не похоже на смещение от GMT.
И в BrowsingHistoryView и в IEHistoryView использовались вызовы API.
Таким образом вывод что надо проверять результаты даже от известных утилит.
Сюрпризы на каждом шагу.
No comments:
Post a Comment
А что вы думаете по этому поводу?