ie緩存文件在哪(ie緩存文件在哪里)

基本認知：

1、網頁瀏覽活動經常需要調查的內容主要有：上網訪問歷史記錄（訪問過的站點地址列表、次數、最后訪問時間等）、緩存（Cache）、Cookies、收藏夾（Favorites）。

2、不同的IE瀏覽器版本存在一些細微的差異，IE瀏覽器從版本IE5~IE9采用了相同的工作機制及數據存儲方式，IE10以上版本則采用了全新的存儲機制。

二、操作練習

1、上網訪問歷史記錄

1.1、IE瀏覽器會將所有訪問過的站點各個頁面的URL地址記錄到用戶配置文件夾下History文件夾中，以瀏覽時間為序列列出最近瀏覽過的瀏覽點，所有的URL地址鏈接和各種訪問的詳細信息都存儲在名為Index.dat的索引文件中。

1.2、通常情況下，對歷史記錄的取證應通過靜態離線取證的方式進行，這樣看到的文件目錄結構往往與操作系統正在運行的情況下看到的有所差異。Windows操作系統正在運行的情況下，對數據的讀取訪問做了特殊處理，因此看到的信息都是經過處理后的內容。在本實驗環境中，History文件夾位置為“C:UrsAdministratorAppDataLocalMicrosoftWindowsHistory”（History文件夾是不可見的，需要自行輸入路徑）。如圖所示

2、緩存（Cache）

2.1 IE瀏覽器為提升打開網頁的速度，默認會將最近瀏覽過的內容保存到本地緩存中，當用戶下一次打開同一個網站時，就不需要全部重新從遠程的網站服務器上下載文件，而是直接從本地緩存中讀取，當然IE瀏覽器也有相應的機制，可以設置是否更新過時的內容，打開“IE瀏覽器”->“工具”->“Internet選項”，點擊“瀏覽歷史記錄”中的“設置”按鈕打開“Internet 臨時文件和歷史記錄設置”對話框。如圖所示

2.2 IE瀏覽器的緩存數據通常存儲在用戶配置文件夾下，本例中位置為“C:UrsAdministratorAppDataLocalMicrosoftWindowsTemporary Internet Files”。如圖所示

3、Cookies

3.1 Cookies通常存儲在用戶配置文件夾下的Cookies文件夾，該文件夾下保存了一個索引文件Index.dat和大量的Cookies文本文件。Index.dat記錄了用戶訪問的所有站點地址信息，Cookies文本文件則單獨記錄了各個站點的相關信息。如果同一個網站的多個頁面啟用了Cookies來存儲相關數據，那么用戶在訪問后 ，就會有多個Cookies文件，通常在Windows系統下Cookies文件的命名規則是：用戶名@站點相關的名稱[序號].txt。本例中，打開“C:UrsAdministratorAppDataRoamingMicrosoftWindowsCookies”查看Cookies。如圖所示

4、收藏夾

4.1 瀏覽器的收藏夾通常保存了用戶感興趣的網站URL鏈接，這些鏈接在一定程度上可以體現用戶的傾向性和意圖。通常收藏夾默認存儲于用戶配置文件夾下的Favorites文件夾，本例中位置為“C:UrsAdministratorFavorites”。如圖所示

5、思考：新一代IE瀏覽器的取證方式？

三、火狐瀏覽器

1、基本認知：Firefox瀏覽器的數據存儲采用的是SQLite數據庫，因此可用SQLite數據庫查看工具打開該文件進行SQL語句查詢查看數據庫中的數據。

2、places.sqlite

2.1 本例中，火狐瀏覽器的數據庫文件存儲位置為“C:UrsAdministratorAppDataRoamingMozillaFirefoxProfileswzuidpc9.default”，這里需要顯示出隱藏文件：點擊“組織”->“文件夾和搜索選項”->“查看”->“顯示隱藏文件、文件夾和驅動器”->“確定”即可。如圖所示

2.2 上網歷史記錄、書簽及下載文件列表數據庫名為“places.sqlite”。打開SQLiteStudio軟件（軟件在桌面取證文件夾下，打開軟件選擇簡體中文），點擊菜單欄中的“數據庫”按鈕，選擇“添加數據庫”選項。如圖所示

2.3 在彈出的“數據庫”對話框中，選擇“文件”選擇框的“+”號按鈕。如圖所示

2.4 在數據庫文件存儲文件夾中選擇C:UrsAdministratorAppDataRoamingMozillaFirefoxProfileswzuidpc9.default下的“places.sqlite”并點擊“確定”。如圖所示

2.5 點擊“OK”按鈕完成添加數據庫操作，選擇數據庫列表中的“places”數據庫并點擊“連接數據庫”按鈕。如圖所示

2.6 選擇“moz_places”表，右鍵單擊，在快捷菜單中選擇“Generate query for table”->“SELECT”。如圖所示

2.7 點擊藍色三角按鈕進行查詢得到結果，該表中保存了上網歷史記錄。如圖所示

2.8 以同樣的方式查詢書簽數據存放的表“moz_bookmarks”。如圖所示

2.9 下載文件列表“moz_annos”。如圖所示

1.9 下載文件列表“moz_annos”。如圖所示

3、cookies.sqlite

3.1 添加數據庫文件“cookies.sqlite”，連接數據庫并查看“moz_cookies”表內容。如圖所示

4、緩存文件

4.1 打開火狐瀏覽器，在地址欄中輸入“about:cache”查看緩存文件存儲位置。如圖所示

4.2 點擊鏈接“List Cache Entries”查看緩存。如圖所示

5、思考：Chrome瀏覽器如何進行取證？