ie-index-file
Internet Explorer의 index.dat 파일(MSIECF 형식)을 파싱하여 캐시 및 방문 기록을 조회합니다. URL, 파일 이름, 접근 시각, 수정 시각 등의 정보를 구조화된 필드로 변환하여 출력합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 없음 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
ie-index-file [zippath=STR] [zipcharset=STR] FILE_PATH
옵션
zippath=STRindex.dat파일이 포함된 ZIP 파일의 경로. ZIP 파일 내부의 파일을 직접 조회할 때 사용합니다.zipcharset=STR- ZIP 파일 엔트리의 문자 집합 (기본값:
utf-8)
대상
FILE_PATH- 조회할 Internet Explorer
index.dat파일 경로. 와일드카드(*)를 사용하여 여러 파일을 지정할 수 있습니다.index.dat파일은 Windows XP 이하에서 Internet Explorer가 사용하는 캐시 파일 형식으로, 일반적으로C:\Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5\index.dat경로에 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
_file | 문자열 | 원본 파일 이름 |
_time | 날짜 | 레코드 타임스탬프 |
type | 문자열 | 레코드 유형. URL 등 |
location | 문자열 | 캐시 또는 방문 URL |
file_name | 문자열 | 캐시 파일 이름 |
last_accessed | 날짜 | 마지막 접근 시각 |
last_modified | 날짜 | 마지막 수정 시각 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot read MSIE cache file PATH | index.dat 파일을 읽거나 파싱할 수 없는 경우 | 쿼리 실행을 중단함 |
설명
ie-index-file 명령어는 Internet Explorer가 사용하는 MSIECF(Microsoft Internet Explorer Cache File) 형식의 index.dat 파일을 파싱합니다. 이 파일은 Windows XP 이하 버전의 Internet Explorer에서 웹 캐시, 쿠키, 방문 기록을 저장하는 데 사용됩니다.
파일 내부의 URL 레코드를 파싱하여 접근한 URL, 캐시 파일 이름, 타임스탬프 정보를 출력합니다.
사용 예
-
index.dat 파일 조회
ie-index-file /opt/logpresso/evidence/index.dat지정한 경로의
index.dat파일에서 모든 레코드를 조회합니다. -
특정 도메인의 방문 기록 필터링
ie-index-file /opt/logpresso/evidence/index.dat | search location == "*example.com*"특정 도메인의 캐시 또는 방문 기록만 필터링합니다.
-
ZIP 파일 내부의 index.dat 조회
ie-index-file zippath=/opt/logpresso/evidence/artifacts.zip Content.IE5/index.datZIP 파일 내부의
index.dat파일에서 레코드를 조회합니다.
호환성
ie-index-file 명령어는 4.0.2305.0 버전부터 사용 가능합니다.