前提となる環境
- Internet Explorerで保存したオートコンプリートの情報をマシンが起動していない状態で出力する
- 当該マシンのディスクイメージはddなどにより取得している
- 当該マシンの環境は、Windows 7 / IE 11を利用
利用するツール
- IE PassView
http://www.nirsoft.net/utils/internet_explorer_password.html- IE PassViewを利用すると、オートコンプリートで保存したパスワード情報を出力することができる。
- 既定だと、起動時のIE環境に保存されている情報に基づいて、出力をするが、指定したユーザーフォルダの情報に基づいて出力するように設定することもできる。
- FTK Imager Lite
http://marketing.accessdata.com/ftkimagerlite3.1.1- ディスクイメージの内容を参照できるツール。
- ディスクイメージをマウントして利用することもできる。
操作
FTK Imager Liteによるディスクイメージのマウント
IE PassViewによる参照
補足
- 元の情報はレジストリ情報に暗号化されて保存されている。
- 保存先: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
- 接続先のURLのハッシュ値ごとにキーを配置
- この暗号化を解除するためにログオン時に使用されていたパスワードの情報が必要となる。
- パスワード情報が入手できない場合には、SAMデータベースを解析するなどの手法が必要となる。