Rss

Pasco – Registro de atividades do IE


A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.

Existem duas maneiras de executar a ferramenta Pasco:

Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0x80. Este modo pode recuperar atividades que não foram encontradas no modo normal.

Os parâmetros do comando Pasco são relativamente simples:

# ./pasco

Usage: pasco [options] <filename>

-d Undelete Activity Records

-t Field Delimiter (TAB by default)

O parâmetro "-d" aciona o modo recuperação.

O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é tab). A saída será enviada para a saída padrão (o console).

Ex.

# /usr/bin/pasco index.dat > index.txt

# /usr/bin/pasco -d index.dat > index.txt

# /usr/bin/pasco -t ";" index.dat > index.txt

Para importar o arquivo de saída:

Abra uma planilha eletrônica (Open Office)

Arquivo à Abrir

Tipo de Arquivo: Selecionar Texto CSV;

Selecionar o arquivo a ser importado;

(marcar na importação: ponto-e-virgula)

Locais onde o arquivo index.dat pode ser encontrado.

 

Windows 95/98/Me:

  • WindowsTemporary Internet FilesContent.IE5
  • WindowsCookies
  • WindowsHistoryHistory.IE5

Windows NT:

  • WinntProfiles<username>Local SettingsTemporary Internet FilesContent.IE5
  • WinntProfiles<username>Cookies
  • WinntProfiles<username>Local SettingsHistoryHistory.IE5

Windows 2K/XP:

  • Documents and Settings<username>Local SettingsTemporary Internet FilesContent.IE5
  • Documents and Settings<username>Cookies
  • Document and Settings<username>Local SettingsHistoryHistory.IE5

Comments (2)

  1. Romero

    Gostei, muito boa instrução!

    Obrigado

  2. bigrider

    muito boa essa explicacao.. teria algum modo de poder deixar arquivos na raiz tb para facilitar a exportacao …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*

What is 12 + 14 ?
Please leave these two fields as-is:
IMPORTANT! To be able to proceed, you need to solve the following simple math (so we know that you are a human) :-)
1 visitantes online agora
0 visitantes, 1 bots, 0 membros
Máx. de visitantes hoje: 2 às 02:13 am UTC
Este mês: 4 às 07-21-2019 06:49 pm UTC
Este ano: 9 às 04-19-2019 12:47 pm UTC
No total: 25 às 06-01-2011 07:42 pm UTC