A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.

Existem duas maneiras de executar a ferramenta Pasco:

Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0x80. Este modo pode recuperar atividades que não foram encontradas no modo normal.

Os parâmetros do comando Pasco são relativamente simples:

# ./pasco

Usage: pasco [options] <filename>

-d Undelete Activity Records

-t Field Delimiter (TAB by default)

O parâmetro "-d" aciona o modo recuperação.

O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é tab). A saída será enviada para a saída padrão (o console).

Ex.

# /usr/bin/pasco index.dat > index.txt

# /usr/bin/pasco -d index.dat > index.txt

# /usr/bin/pasco -t ";" index.dat > index.txt

Para importar o arquivo de saída:

Abra uma planilha eletrônica (Open Office)

Arquivo à Abrir

Tipo de Arquivo: Selecionar Texto CSV;

Selecionar o arquivo a ser importado;

(marcar na importação: ponto-e-virgula)

Locais onde o arquivo index.dat pode ser encontrado.

Windows 95/98/Me:

• WindowsTemporary Internet FilesContent.IE5
• WindowsCookies
• WindowsHistoryHistory.IE5

Windows NT:

• WinntProfiles<username>Local SettingsTemporary Internet FilesContent.IE5
• WinntProfiles<username>Cookies
• WinntProfiles<username>Local SettingsHistoryHistory.IE5

Windows 2K/XP:

• Documents and Settings<username>Local SettingsTemporary Internet FilesContent.IE5
• Documents and Settings<username>Cookies
• Document and Settings<username>Local SettingsHistoryHistory.IE5

Tags: index.dat, Keith J. Jones, pasco