He oído que es posible utilizar EnCase para recuperar el historial de navegación de IE InPrivate. ¿Es esto realmente posible?
Si es así, suponga que una computadora se ha apagado justo después de usar InPrivate en IE (por ejemplo, hay pestañas abiertas y los usuarios simplemente apagan toda la computadora sin cerrar las ventanas). ¿Cuánto podría recuperarse el historial? ?
Hay varias diferencias en la implementación de la navegación privada para IE según la versión de IE que estés usando. Se suponía que la navegación privada de IE 8 era bastante buena, mientras que IE 9 tenía muchos problemas.
Encase es solo una pieza de software que puede hacer análisis forense avanzado. Ya que puede leer archivos eliminados de la unidad (según las circunstancias) y como la navegación privada de IE escribe archivos en el disco, es posible recuperarlos utilizando un software como EnCase. entonces es simplemente una cuestión de crear la línea de tiempo forense para juntar la información que se obtiene de los archivos extraídos.
Hay algunos enlaces relevantes que he encontrado aquí y también here
En todos los casos, Internet Explorer utiliza InPrivate no almacena registros de las URL visitadas o las cookies de una sesión de InPrivate en el disco. Sin embargo, sí almacena los archivos almacenados en caché ( .html archivos, imágenes, videos ..) de la sesión de InPrivate, pero los elimina al cerrar el navegador. Así que tenemos dos casos aquí
Cerrar antes cerrando el navegador: el historial de navegación no se podrá recuperar, pero los archivos almacenados en caché permanecerán en el disco. Tenga en cuenta que, en la mayoría de los casos, el cierre normal cierra las aplicaciones abiertas y espera a que se cierren de forma segura. Por supuesto, es diferente cuando hay un corte de energía o cuando se usa el modo de suspensión / hibernación.
Cerrar después cerrando el navegador: el historial de navegación y los archivos en caché no estarán allí, pero podría ser posible recuperar archivos en caché usando métodos de recuperación de datos .
Para obtener más información sobre lo que InPrivate almacena en el disco o la memoria, consulte las páginas relevantes de Microsoft para obtener Internet Explorer 8 y Internet Explorer 9 .
En conclusión: es posible que Encase recupere los archivos en caché de su sesión de navegación, pero no los registros de navegación en sí mismos (historial de las URL visitadas).
Lea otras preguntas en las etiquetas forensics