Utilizzo di EnCase per ripristinare la cronologia di navigazione InPrivate

Naviga le tue risposte
5

Ho sentito che è possibile utilizzare EnCase per recuperare la cronologia di navigazione di IE InPrivate. È davvero possibile?

Se è così, supponiamo che un computer sia stato spento subito dopo l'uso di InPrivate browsing in IE (ad esempio ci sono delle schede aperte e gli utenti interrompono l'intero computer senza chiudere Windows). Quanto sarebbe probabile che la cronologia fosse ripristinata ?

    
posta forensia 20.05.2013 - 11:59
fonte

2 risposte

3

Ci sono varie differenze nell'implementazione della navigazione in -privata per IE in base alla versione di IE che stai utilizzando. Si supponeva che IE 8 inprivate browsing fosse abbastanza buono, mentre IE 9 aveva molti problemi.

Encase è solo un software che può eseguire analisi forensi avanzate. Poiché è in grado di leggere i file cancellati dall'unità (a seconda delle circostanze) e poiché IE inprivate browsing scrive i file sul disco, è possibile recuperarli utilizzando un software come EnCase. quindi è semplicemente una questione di creare la cronologia legale per mettere insieme le informazioni del tuo dopo dai file estratti.

Ci sono alcuni link rilevanti che ho trovato qui e anche here

    
risposta data 20.05.2013 - 13:03
fonte
3

In tutti i casi, Internet Explorer utilizza InPrivate non memorizza i record degli URL visitati o i cookie di una sessione InPrivate sul disco. Tuttavia, memorizza i file memorizzati nella cache ( .html file, immagini, video ..) della sessione InPrivate, ma li rimuove quando chiudi il browser. Quindi abbiamo due casi qui

  • Chiusura prima chiusura del browser: la cronologia di navigazione non sarà recuperabile, ma i file memorizzati nella cache rimarranno sul disco. Si noti che nella maggior parte dei casi, l'arresto normale chiude le applicazioni aperte e attende che si chiudano in modo sicuro. Certo, è diverso quando c'è un'interruzione di corrente o si utilizza Sleep / Hibernate.

  • Chiusura dopo chiusura del browser: La cronologia di navigazione e i file memorizzati nella cache non saranno presenti, ma potrebbe essere possibile recuperare i file memorizzati nella cache utilizzando metodi di recupero dati .

Per ulteriori informazioni su ciò che InPrivate archivia su disco o memoria, controlla le pagine pertinenti di Microsoft per Internet Explorer 8 e Internet Explorer 9 .

Quindi in conclusione: è possibile per Encase ripristinare i file memorizzati nella cache della sessione di navigazione ma non i registri di navigazione (cronologia degli URL visitati).

    
risposta data 20.05.2013 - 13:25
fonte

Leggi altre domande sui tag

Forensics dopo il compromesso del web server WCF - Questa è una buona architettura di sicurezza?