1. ブックマーク(Bookmarks)の解析
ブックマークはユーザーが興味を持ったページを示すため、その活動内容を推測する手掛かりとなる。もっとも、それだけでは「閲覧した」証拠にならないため、後述の履歴ファイルによる裏付けが必要になる。
- 保存場所とファイル形式
- パス:
%USERS%/AppData/Local/Google/Chrome/User Data/Default/Bookmarks - 形式: 拡張子のないJSONファイル。
- 閲覧方法: テキストエディタで開くことができます。Notepad++(JSONプラグイン付き)を使用すると、階層構造が視覚的に分かりやすくなる。
- パス:
- 含まれる情報
- URL、ブックマーク名、フォルダ構造(
roots,bookmark_bar,childrenなど)。 - 作成日時(
date_added)などのメタ情報。
- URL、ブックマーク名、フォルダ構造(
- タイムスタンプの解読
- Chromeは独自の日時形式(Google Chrome Value)を使用している。
- ツール: オープンソースツールのDCodeなどを使用することで、エンコードされた数値を人間が読める日時(例: UTC)に変換できる。
2. 履歴ファイル(History)の解析
履歴ファイルはSQLiteデータベースであり、ユーザーのアクティビティに関する詳細な情報を含む。
- 保存場所とファイル形式
- パス:
%USERS%/AppData/Local/Google/Chrome/User Data/ - 形式: 拡張子のないSQLiteデータベース。
- パス:
- 主な記録内容
- Downloads: ダウンロードされたファイルの保存先パス、ソースURL、開始/終了時刻、ファイルサイズ。
- Keyword search: アドレスバーに入力された検索用語。
- Typed URLs: ユーザーが直接入力したURL。
- History: 訪問したURL、訪問回数、訪問日時。