Pasco – Registro de atividades do IE

Autor: Paulo Neukamp  //  Categoria: Dicas


A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.

Existem duas maneiras de executar a ferramenta Pasco:

Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0x80. Este modo pode recuperar atividades que não foram encontradas no modo normal.

Os parâmetros do comando Pasco são relativamente simples:

# ./pasco

Usage: pasco [options] <filename>

-d Undelete Activity Records

-t Field Delimiter (TAB by default)

O parâmetro "-d" aciona o modo recuperação.

O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é Ler mais…

19 visitantes online agora
16 visitantes, 3 bots, 0 membros
Máx. de visitantes hoje: 20 às 02:38 am UTC
Este mês: 50 às 02-16-2020 04:31 pm UTC
Este ano: 81 às 01-10-2020 11:42 pm UTC
No total: 81 às 01-10-2020 11:42 pm UTC