A ferramenta Pasco, foi concebida por Keith J. Jones em 2003, com o intuito de facilitar a manipulação de arquivos index.dat, que armazenam todas as atividades dos usuários na Internet. Sua função é converter os dados de entrada (hex) em um arquivo de texto delimitado, de modo que o investigador possa importar os resultados para uma planilha de sua escolha e poder analizá-los posteriormente.

Existem duas maneiras de executar a ferramenta Pasco:

Modo normal ou Modo de recuperação. O modo de recuperação ignora as informações da tabela hash e reconstrói qualquer registro de atividade válido em cada byte 0×80. Este modo pode recuperar atividades que não foram encontradas no modo normal.

Os parâmetros do comando Pasco são relativamente simples:

# ./pasco

Usage: pasco [options] <filename>

-d Undelete Activity Records

-t Field Delimiter (TAB by default)

O parâmetro “-d” aciona o modo recuperação.

O parâmetro “-t” irá permitir que o investigador mude o delimitador dos campos (o padrão é tab). A saída será enviada para a saída padrão (o console).

Ex.

# /usr/bin/pasco index.dat > index.txt

# /usr/bin/pasco -d index.dat > index.txt

# /usr/bin/pasco -t “;” index.dat > index.txt

Para importar o arquivo de saída:

Abra uma planilha eletrônica (Open Office)

Arquivo à Abrir

Tipo de Arquivo: Selecionar Texto CSV;

Selecionar o arquivo a ser importado;

(marcar na importação: ponto-e-virgula)

Locais onde o arquivo index.dat pode ser encontrado.

Windows 95/98/Me:

• \Windows\Temporary Internet Files\Content.IE5\
• \Windows\Cookies\
• \Windows\History\History.IE5\

Windows NT:

• \Winnt\Profiles\<username>\Local Settings\Temporary Internet Files\Content.IE5\
• \Winnt\Profiles\<username>\Cookies\
• \Winnt\Profiles\<username>\Local Settings\History\History.IE5\

Windows 2K/XP:

• \Documents and Settings\<username>\Local Settings\Temporary Internet Files\Content.IE5\
• \Documents and Settings\<username>\Cookies\
• \Document and Settings\<username>\Local Settings\History\History.IE5\

Tags: index.dat, Keith J. Jones, pasco