DIGITAL FORENSICS:How to analyze WebCacheV01.dat

When you visit any website, a web browser writes internet history. In Internet Explorer 10 or 11, you can find the history logs stored in WebCacheV01.dat file. This file is an ESE database, also known as the Jet Blue engine. This file is located under

 C:\Users\USERNAME\AppData\Local\Microsoft\Windows\WebCache. WebCacheV01.dat

Export >  WebCacheV01.dat 

• Local file access may still be tracked within browser history; this is specifically the case when a browser is used to view a local copy of a PDF, SVG, etc.
• Note that local file access will also appear within %LocalAppData%\Microsoft\ Windows\WebCache\WebCacheV01.dat; look for entries like file:///X:/path/to/file, where “X” is the drive letter on which the file was accessed

Open Osforensics  > ESEDB Viewer

ESEDB viewer to view and analyze the contents of ESE DB (.edb) database files, a common storage format used by various Microsoft applications

These files can be examined manually, for example, with a hex viewer, or can be parsed automatically with Digital Forensic tools. Here is the WebCacheV01.dat file parsed with ESEDB viewer:

URL 

Access Time

Port 

อ้างอิง  BrowsingHistoryView

            Extracting internet history

            Forensic analysis of the ESE database in Internet Explorer

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #MagnetForensic