Tweet
A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.
Existem duas maneiras de executar a ferramenta Pasco:
Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0×80. Este modo pode recuperar atividades que não foram encontradas no modo normal.
Os parâmetros do comando Pasco são relativamente simples:
O parâmetro "-d" aciona o modo recuperação.
O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é tab). A saída será enviada para a saída padrão (o console).
Ex.
Para importar o arquivo de saída:
Abra uma planilha eletrônica (Open Office)
Arquivo à Abrir
Tipo de Arquivo: Selecionar Texto CSV;
Selecionar o arquivo a ser importado;
(marcar na importação: ponto-e-virgula)
Locais onde o arquivo index.dat pode ser encontrado.
Existem duas maneiras de executar a ferramenta Pasco:
Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0×80. Este modo pode recuperar atividades que não foram encontradas no modo normal.
Os parâmetros do comando Pasco são relativamente simples:
Código:
# ./pasco Usage: pasco [options] <filename>> -d Undelete Activity Records -t Field Delimiter (TAB by default)
O parâmetro "-t" irá permitir que o investigador mude o delimitador dos campos (o padrão é tab). A saída será enviada para a saída padrão (o console).
Ex.
Código:
# /usr/bin/pasco index.dat >> index.txt # /usr/bin/pasco -d index.dat >> index.txt # /usr/bin/pasco -t ";" index.dat >> index.txt
Abra uma planilha eletrônica (Open Office)
Arquivo à Abrir
Tipo de Arquivo: Selecionar Texto CSV;
Selecionar o arquivo a ser importado;
(marcar na importação: ponto-e-virgula)
Locais onde o arquivo index.dat pode ser encontrado.
Código:
Windows 95/98/Me:
* \Windows\Temporary Internet Files\Content.IE5\
* \Windows\Cookies\
* \Windows\History\History.IE5\
Windows NT:
* \Winnt\Profiles\<username>>\Local Settings\Temporary Internet Files\Content.IE5\
* \Winnt\Profiles\<username>>\Cookies\
* \Winnt\Profiles\<username>>\Local Settings\History\History.IE5\
Windows 2K/XP:
* \Documents and Settings\<username>>\Local Settings\Temporary Internet Files\Content.IE5\
* \Documents and Settings\<username>>\Cookies\
* \Document and Settings\<username>>\Local Settings\History\History.IE5\
