А АSaturday, 25 August 2018

Сопоставляем результаты поиска с разных инструментов.

Всем привет.

Хочу заметить что в процессе исследования компьютерных следов чьих-то действий следует быть максимально подозрительным. И проверять результаты поиска с разных инструментов сопоставляя их между собой.

Доверяй но проверяй!

Свежий пример.

Вы наверное знаете что в историю вашего web-браузера Internet Explorer попадает вся хронология открытия файлов на вашем ПК. Даже если он у вас установлен не по умолчанию. Такая вот тесная интеграция IE в оболочку Windows.

Итак берем BrowsingHistoryView от NirSoft и читаем нашу историю. Лично у меня не было повода не доверять результатам этого инструмента.

Выбираем файл Bellydancer.jpg который я открывал 22-го числа.
Сведения по файлу следующие:

URL  : file:///D:/vix/111/Bellydancer.jpg
Title   : 
Visit Time  : 22.08.2018 14:52:37
Visit Count : 15
Visited From : 
Web Browser  : Internet Explorer 10
User Profile     : 
Browser Profile  

Вот тут возникает вопрос - как читать время обращения до секунды если указано что файл открывался 15 раз?

Более того BrowsingHistoryView считает что это был IE 10-й версии. Ну точно нет. 10-го там не было никогда. IE там остановился на 8-й версии.


Тогда я решил проверить тот же файл своим кодом, а именно утилитой IEHistoryView. Как видите, она мне показала другое время обращения, которое даже не похоже на смещение от GMT.

И в BrowsingHistoryView и в IEHistoryView использовались вызовы API.

Таким образом вывод что надо проверять результаты даже от известных утилит.
Сюрпризы на каждом шагу.




No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное

Медиа облако