使用Trickest可以轻松构建和自动化工作流程，使用世界上最先进的社区工具。 立即获取访问权限：

浏览器遗留物

浏览器遗留物包括Web浏览器存储的各种数据，如浏览历史记录、书签和缓存数据。这些遗留物存储在操作系统中特定的文件夹中，不同浏览器的位置和名称各不相同，但通常存储类似的数据类型。

以下是最常见的浏览器遗留物摘要：

• 浏览历史记录：跟踪用户访问网站的记录，有助于识别访问恶意网站的情况。

• 自动完成数据：基于频繁搜索的建议，结合浏览历史记录时提供洞察。

• 书签：用户保存的用于快速访问的网站。

• 扩展和插件：用户安装的浏览器扩展或插件。

• 缓存：存储Web内容（例如图像、JavaScript文件）以提高网站加载时间，对取证分析很有价值。

• 登录信息：存储的登录凭据。

• 网站图标：与网站相关联的图标，显示在标签和书签中，有助于获取有关用户访问的额外信息。

• 浏览器会话：与打开的浏览器会话相关的数据。

• 下载：通过浏览器下载的文件记录。

• 表单数据：在Web表单中输入的信息，保存以供将来自动填充建议使用。

• 缩略图：网站的预览图像。

• Custom Dictionary.txt：用户添加到浏览器字典中的单词。

火狐浏览器

火狐浏览器将用户数据组织在配置文件中，根据操作系统存储在特定位置：

• Linux：~/.mozilla/firefox/

• MacOS：/Users/$USER/Library/Application Support/Firefox/Profiles/

• Windows：%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\

这些目录中的profiles.ini文件列出了用户配置文件。每个配置文件的数据存储在profiles.ini中的Path变量命名的文件夹中，该文件夹位于profiles.ini所在的目录中。如果配置文件的文件夹丢失，可能已被删除。

在每个配置文件夹中，您可以找到几个重要文件：

• places.sqlite：存储历史记录、书签和下载。Windows上的工具如BrowsingHistoryView可以访问历史数据。

• 使用特定的SQL查询提取历史和下载信息。

• bookmarkbackups：包含书签的备份。

• formhistory.sqlite：存储Web表单数据。

• handlers.json：管理协议处理程序。

• persdict.dat：自定义字典单词。

• addons.json和extensions.sqlite：安装的插件和扩展信息。

• cookies.sqlite：Cookie存储，可通过Windows上的MZCookiesView进行检查。

• cache2/entries或startupCache：缓存数据，可通过工具如MozillaCacheView访问。

• favicons.sqlite：存储网站图标。

• prefs.js：用户设置和首选项。

• downloads.sqlite：旧的下载数据库，现已整合到places.sqlite中。

• thumbnails：网站缩略图。

• logins.json：加密的登录信息。

• key4.db或key3.db：存储用于保护敏感信息的加密密钥。

此外，可以通过在prefs.js中搜索browser.safebrowsing条目来检查浏览器的反钓鱼设置，以确定安全浏览功能是否已启用或已禁用。

要尝试解密主密码，可以使用https://github.com/unode/firefox_decrypt 使用以下脚本和调用，您可以指定一个密码文件进行暴力破解：

#!/bin/bash

#./brute.sh top-passwords.txt 2>/dev/null | grep -A2 -B2 "chrome:"
passfile=$1
while read pass; do
echo "Trying $pass"
echo "$pass" | python firefox_decrypt.py
done < $passfile

Google Chrome

Google Chrome将用户配置文件存储在特定位置，具体取决于操作系统：

• Linux：~/.config/google-chrome/

• Windows：C:\Users\XXX\AppData\Local\Google\Chrome\User Data\

• MacOS：/Users/$USER/Library/Application Support/Google/Chrome/

在这些目录中，大多数用户数据可以在**Default/或ChromeDefaultData/**文件夹中找到。以下文件包含重要数据：

• History：包含URL、下载和搜索关键字。在Windows上，可以使用ChromeHistoryView来查看历史记录。"Transition Type"列具有各种含义，包括用户点击链接、输入的URL、表单提交和页面重新加载。

• Cookies：存储Cookie。可使用ChromeCookiesView进行检查。

• Cache：保存缓存数据。Windows用户可以使用ChromeCacheView进行检查。

• Bookmarks：用户书签。

• Web Data：包含表单历史记录。

• Favicons：存储网站图标。

• Login Data：包括用户名和密码等登录凭据。

• Current Session/Current Tabs：关于当前浏览会话和打开标签页的数据。

• Last Session/Last Tabs：有关在Chrome关闭之前最后一个会话期间活动的信息。

• Extensions：浏览器扩展和插件的目录。

• Thumbnails：存储网站缩略图。

• Preferences：包含丰富信息的文件，包括插件、扩展、弹出窗口、通知等设置。

• 浏览器内置的反钓鱼：要检查反钓鱼和恶意软件保护是否已启用，请运行grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences。在输出中查找{"enabled: true,"}。

SQLite数据库数据恢复

正如您在前面的部分中所看到的，Chrome和Firefox都使用SQLite数据库存储数据。可以使用工具sqlparse或sqlparse_gui来恢复已删除的条目。

Internet Explorer 11

Internet Explorer 11在各个位置管理其数据和元数据，有助于分离存储的信息及其相应的细节，以便轻松访问和管理。

元数据存储

Internet Explorer的元数据存储在%userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data中（其中VX为V01、V16或V24）。除此之外，V01.log文件可能显示与WebcacheVX.data的修改时间不一致，表明需要使用esentutl /r V01 /d进行修复。这些存储在ESE数据库中的元数据可以使用工具如photorec和ESEDatabaseView进行恢复和检查。在Containers表中，可以区分存储每个数据段的特定表或容器，包括其他Microsoft工具（如Skype）的缓存详细信息。

缓存检查

IECacheView工具允许进行缓存检查，需要提供缓存数据提取文件夹的位置。缓存的元数据包括文件名、目录、访问计数、URL来源以及表示缓存创建、访问、修改和到期时间的时间戳。

Cookies管理

可以使用IECookiesView来探索Cookie，元数据包括名称、URL、访问计数和各种与时间相关的详细信息。持久性Cookie存储在%userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies中，会话Cookie存储在内存中。

下载详细信息

可以通过ESEDatabaseView访问下载元数据，特定容器包含URL、文件类型和下载位置等数据。物理文件可以在%userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory下找到。

浏览历史

要查看浏览历史，可以使用BrowsingHistoryView，需要提供提取的历史文件位置和Internet Explorer的配置。这里的元数据包括修改和访问时间，以及访问计数。历史文件位于%userprofile%\Appdata\Local\Microsoft\Windows\History中。

输入的URL

输入的URL及其使用时间存储在注册表中的NTUSER.DAT中的Software\Microsoft\InternetExplorer\TypedURLs和Software\Microsoft\InternetExplorer\TypedURLsTime下，跟踪用户输入的最后50个URL及其最后输入时间。

Microsoft Edge

Microsoft Edge将用户数据存储在%userprofile%\Appdata\Local\Packages中。各种数据类型的路径为：

• 配置文件路径：C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC

• 历史记录、Cookie和下载：C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

• 设置、书签和阅读列表：C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb

• 缓存：C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache

• 最后活动会话：C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active

Safari

Safari数据存储在/Users/$User/Library/Safari中。关键文件包括：

• History.db：包含history_visits和history_items表，包含URL和访问时间戳。使用sqlite3进行查询。

• Downloads.plist：有关下载文件的信息。

• Bookmarks.plist：存储书签的URL。

• TopSites.plist：最常访问的站点。

• Extensions.plist：Safari浏览器扩展列表。使用plutil或pluginkit进行检索。

• UserNotificationPermissions.plist：允许推送通知的域。使用plutil进行解析。

• LastSession.plist：上次会话的标签页。使用plutil进行解析。

• 浏览器内置的反钓鱼：使用defaults read com.apple.Safari WarnAboutFraudulentWebsites进行检查。响应为1表示该功能已激活。

Opera

Opera的数据存储在/Users/$USER/Library/Application Support/com.operasoftware.Opera中，并与Chrome的格式相同，用于历史记录和下载。

• 浏览器内置的反钓鱼：通过检查偏好设置文件中fraud_protection_enabled是否设置为true来验证，使用grep。

这些路径和命令对于访问和理解不同网络浏览器存储的浏览数据至关重要。

参考

• https://nasbench.medium.com/web-browsers-forensics-7e99940c579a

• https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/

• https://books.google.com/books?id=jfMqCgAAQBAJ&pg=PA128&lpg=PA128&dq=%22This+file

• 书籍：OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123

使用Trickest可以轻松构建和自动化工作流程，使用全球最先进的社区工具。 立即获取访问权限：