Do tego mamy historię pobieranych plików w tabeli "downloads" oraz historię treści, które były wyszukiwane - tabela "keyword_search_terms". To rzecz jasna nie wszystko. Krótki opis użytecznych baz zawiera tabela obok.

Mamy - oczywiście - jeszcze do dyspozycji cache przeglądarki. W Google Chrome znajduje się on w podkatalogu "Cache" katalogu "%localappdata%\Google\Chrome\User Data\Default\". Zasada "działania" jest tutaj podobna jak w Firefoksie - mamy plik indeksowy (index), który zawiera odwołania do innych obiektów. Czym to obejrzeć? Chociażby za pomocą ChromeCacheView (www.nirsoft.net). Daje się go uruchomić zarówno interaktywnie (GUI), jak i z wiersza poleceń.

Internet Explorer

W przypadku IE jest trochę inaczej niż u poprzedników. Tutaj kluczem do analizy aktywności użytkownika jest plik, a w zasadzie pliki index.dat - mapy wiążące kopie stron przechowywanych w pamięci podręcznej z adresami internetowymi. W Windows 7 podstawowym miejscem przechowywania zarówno zawartości pamięci podręcznej (cache), jak i pliku index.dat jest katalog: %SYSTEMDRIVE%\Users\[katalog_użytkownika]\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\.

Ale oczywiście użytkownik może go zmienić. Dlatego też warto sprawdzić klucz rejestru "HKEY_USERS\[id_użytkownika]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" i wartość atrybutu Cache. Będzie ona wskazywała na konkretne miejsce przechowywania danych przez IE. Kolejne pliki index.dat znajdziemy w katalogu %sSYSTEMDRIVE%\Users\[katalog_użytkownika]\AppData\Local\Microsoft\Windows\History\History.IE5\. Tutaj powinniśmy zauważyć także obecność katalogów, które zawierają dane historyczne ze wskazaniem zakresu czasowego, do którego się odnoszą (świadczy o tym nazwa tych katalogów), np. MSHist012010121820101219. Pliki index.dat to pliki binarne, a więc do ich podejrzenia przyda się edytor szesnastkowy (np. HxD).

Informacje, które znajdziemy po "zdekodowaniu" pliku to:

Adresy stron internetowych

Czas ostatniego dostępu do strony

Czas ostatniej modyfikacji przez wystawcę (serwer)

Pliki, które zostały pobrane

Nazwa katalogu CACHE, w którym została zapisana kopia lokalna wyświetlanych treści

Nagłówki HTTP strony

Rodzaj aktywności, który może przybierać postać REDR (odwiedziny są efektem przekierowania z innej strony), URL (odwiedziny są wynikiem działania użytkownika - np. kliknięcie linku czy ręczne wpisanie adresu) oraz LEAK (podobny do URL - pojawia się, gdy rekord z index.dat został usunięty, ale odpowiadające mu treści z cache nie)