最後のネットワークアクセスの日付の検索
インターネット上に存在しない機密性の高いデータを含むシステムを使用しています。しかし、最近このマシンを使用していたときに、Cookieと一時的なインターネットファイルが保存されていることがわかりました。これらが作成された日付はわかりますが、検証可能な方法で最後のインターネットアクセスの日付を取得できる必要があります。マシンはWindows XPであり、完全な管理アクセス権があります。私はすでにイベントビューアを調べましたが、そこには情報がありませんでした。 Temporary Internet Filesフォルダーの最終変更日は数年前なので、これも指標にはなりませんでした。最後の接続がいつ発生したか、また可能であれば、どのようにしてWindowsが教えてくれるリソースまたはログがありますか?
注:これは、企業ネットワーク内または同様の内部ネットワーク内にはありません。
これを行う簡単な(おそらく検証可能な)方法は、マシンに存在する index.dat files を探すことです。ユーザーがすべてのCookieを削除し、すべての一時ファイルを削除して、接続のほとんどのトレースを削除した場合でも、index.datファイルはこの動作を反映するように更新されます-そして、ファイルの最新の変更日は、それが最後にいつだったかを通知しますIEによって使用されるため、インターネットにアクセスした最後の日付を示します。
ホストの完全性が問題なので、私はホストから離れて他のデータソースを調べます。フローレコードの場所を把握します。それらはnetflow、Argus、ファイアウォールのビルド/ティアダウンですか?
ログを検索して、最悪の場合のIPアドレスである、そのシステムのMACからの結果を探します。悪意のある当事者が非プライマリNICを有効にしている可能性があるため、システム上のすべてのインターフェースを考慮することを忘れないでください。
どれくらいの確実性が必要かはわかりません。ファイルの変更日が信頼できないと言っている場合、おそらく日付の改ざんを恐れています。頭に浮かぶのは、Cookieを作成したブラウザで履歴を確認することだけです。 CTRL+H IEで。
このマシンでブラウザーがまったく使用されていない場合は、App Data/Program Data/Local Settingsフォルダーで、構成ファイルの最終変更を確認できます。または、ユーザープロファイル->ブラウザの設定。
サードパーティのファイアウォールをインストールしている場合は、サードパーティのファイアウォールにログが記録されている可能性があります。
事前に接続をトレース/ログ記録するようにマシンを準備していない場合、そのようなイベントをトレースすることは困難です。
誰かが彼らのトラックをカバーしようとしていたなら、彼らは単にクッキーと一時的なインターネットファイルを削除したでしょう。作成日を変更するよりもはるかに簡単で効果的です!最新の一時ファイルの作成日を最後のインターネットアクセスの日付として使用できると思います。