Browser Artifacts
Utiliza Trickest para construir y automatizar flujos de trabajo con las herramientas comunitarias más avanzadas del mundo. ¡Accede hoy mismo:
Artefactos de Navegadores
Los artefactos del navegador incluyen varios tipos de datos almacenados por los navegadores web, como el historial de navegación, marcadores y datos de caché. Estos artefactos se guardan en carpetas específicas dentro del sistema operativo, con ubicaciones y nombres diferentes según el navegador, pero generalmente almacenando tipos de datos similares.
Aquí tienes un resumen de los artefactos de navegador más comunes:
Historial de Navegación: Registra las visitas del usuario a sitios web, útil para identificar visitas a sitios maliciosos.
Datos de Autocompletar: Sugerencias basadas en búsquedas frecuentes, ofreciendo información cuando se combina con el historial de navegación.
Marcadores: Sitios guardados por el usuario para un acceso rápido.
Extensiones y Complementos: Extensiones del navegador o complementos instalados por el usuario.
Caché: Almacena contenido web (por ejemplo, imágenes, archivos JavaScript) para mejorar los tiempos de carga del sitio web, valioso para análisis forense.
Inicios de Sesión: Credenciales de inicio de sesión almacenadas.
Favicons: Iconos asociados con sitios web, que aparecen en pestañas y marcadores, útiles para obtener información adicional sobre las visitas del usuario.
Sesiones del Navegador: Datos relacionados con las sesiones del navegador abiertas.
Descargas: Registros de archivos descargados a través del navegador.
Datos de Formularios: Información introducida en formularios web, guardada para sugerencias de autocompletar en el futuro.
Miniaturas: Imágenes de vista previa de sitios web.
Diccionario Personalizado.txt: Palabras añadidas por el usuario al diccionario del navegador.
Firefox
Firefox organiza los datos del usuario en perfiles, almacenados en ubicaciones específicas según el sistema operativo:
Linux:
~/.mozilla/firefox/
MacOS:
/Users/$USER/Library/Application Support/Firefox/Profiles/
Windows:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
Un archivo profiles.ini
dentro de estos directorios lista los perfiles de usuario. Los datos de cada perfil se almacenan en una carpeta nombrada con la variable Path
dentro de profiles.ini
, ubicada en el mismo directorio que profiles.ini
en sí. Si falta la carpeta de un perfil, es posible que haya sido eliminada.
Dentro de cada carpeta de perfil, puedes encontrar varios archivos importantes:
places.sqlite: Almacena historial, marcadores y descargas. Herramientas como BrowsingHistoryView en Windows pueden acceder a los datos del historial.
Utiliza consultas SQL específicas para extraer información del historial y descargas.
bookmarkbackups: Contiene copias de seguridad de marcadores.
formhistory.sqlite: Almacena datos de formularios web.
handlers.json: Gestiona los manejadores de protocolo.
persdict.dat: Palabras del diccionario personalizado.
addons.json y extensions.sqlite: Información sobre extensiones y complementos instalados.
cookies.sqlite: Almacenamiento de cookies, con MZCookiesView disponible para inspección en Windows.
cache2/entries o startupCache: Datos de caché, accesibles a través de herramientas como MozillaCacheView.
favicons.sqlite: Almacena favicons.
prefs.js: Ajustes y preferencias del usuario.
downloads.sqlite: Base de datos de descargas antiguas, ahora integrada en places.sqlite.
thumbnails: Miniaturas de sitios web.
logins.json: Información de inicio de sesión encriptada.
key4.db o key3.db: Almacena claves de cifrado para proteger información sensible.
Además, verificar la configuración de antiphishing del navegador se puede hacer buscando entradas browser.safebrowsing
en prefs.js
, indicando si las funciones de navegación segura están habilitadas o deshabilitadas.
Para intentar descifrar la contraseña maestra, puedes utilizar https://github.com/unode/firefox_decrypt Con el siguiente script y llamada puedes especificar un archivo de contraseñas para realizar fuerza bruta:
Google Chrome
Google Chrome almacena perfiles de usuario en ubicaciones específicas según el sistema operativo:
Linux:
~/.config/google-chrome/
Windows:
C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS:
/Users/$USER/Library/Application Support/Google/Chrome/
Dentro de estos directorios, la mayoría de los datos de usuario se pueden encontrar en las carpetas Default/ o ChromeDefaultData/. Los siguientes archivos contienen datos significativos:
Historial: Contiene URLs, descargas y palabras clave de búsqueda. En Windows, se puede utilizar ChromeHistoryView para leer el historial. La columna "Tipo de transición" tiene varios significados, incluidos clics de usuario en enlaces, URLs escritas, envíos de formularios y recargas de página.
Cookies: Almacena cookies. Para inspeccionarlas, está disponible ChromeCookiesView.
Caché: Contiene datos en caché. Para inspeccionarlos, los usuarios de Windows pueden utilizar ChromeCacheView.
Marcadores: Marcadores del usuario.
Datos web: Contiene historial de formularios.
Favicons: Almacena favicons de sitios web.
Datos de inicio de sesión: Incluye credenciales de inicio de sesión como nombres de usuario y contraseñas.
Sesión actual/Pestañas actuales: Datos sobre la sesión de navegación actual y las pestañas abiertas.
Última sesión/Últimas pestañas: Información sobre los sitios activos durante la última sesión antes de que se cerrara Chrome.
Extensiones: Directorios para extensiones y complementos del navegador.
Miniaturas: Almacena miniaturas de sitios web.
Preferencias: Un archivo rico en información, que incluye configuraciones para complementos, extensiones, ventanas emergentes, notificaciones y más.
Antiphishing integrado en el navegador: Para verificar si la protección contra phishing y malware está habilitada, ejecuta
grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
. Busca{"enabled: true,"}
en la salida.
Recuperación de datos de bases de datos SQLite
Como se puede observar en las secciones anteriores, tanto Chrome como Firefox utilizan bases de datos SQLite para almacenar los datos. Es posible recuperar entradas eliminadas utilizando la herramienta sqlparse o sqlparse_gui.
Internet Explorer 11
Internet Explorer 11 gestiona sus datos y metadatos en varias ubicaciones, lo que ayuda a separar la información almacenada y sus detalles correspondientes para facilitar el acceso y la gestión.
Almacenamiento de metadatos
Los metadatos de Internet Explorer se almacenan en %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
(siendo VX V01, V16 o V24). Además, el archivo V01.log
puede mostrar discrepancias en el tiempo de modificación con WebcacheVX.data
, lo que indica la necesidad de reparación utilizando esentutl /r V01 /d
. Estos metadatos, alojados en una base de datos ESE, pueden recuperarse e inspeccionarse utilizando herramientas como photorec y ESEDatabaseView, respectivamente. Dentro de la tabla Containers, se puede discernir las tablas o contenedores específicos donde se almacena cada segmento de datos, incluidos detalles de caché para otras herramientas de Microsoft como Skype.
Inspección de caché
La herramienta IECacheView permite la inspección de la caché, requiriendo la ubicación de la carpeta de extracción de datos de caché. Los metadatos de la caché incluyen nombre de archivo, directorio, recuento de accesos, origen de URL y marcas de tiempo que indican la creación de la caché, acceso, modificación y tiempos de caducidad.
Gestión de cookies
Las cookies se pueden explorar utilizando IECookiesView, con metadatos que abarcan nombres, URLs, recuentos de accesos y varios detalles relacionados con el tiempo. Las cookies persistentes se almacenan en %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
, mientras que las cookies de sesión residen en la memoria.
Detalles de descargas
Los metadatos de descargas son accesibles a través de ESEDatabaseView, con contenedores específicos que contienen datos como URL, tipo de archivo y ubicación de descarga. Los archivos físicos se pueden encontrar en %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
.
Historial de navegación
Para revisar el historial de navegación, se puede utilizar BrowsingHistoryView, que requiere la ubicación de los archivos de historial extraídos y la configuración para Internet Explorer. Los metadatos aquí incluyen tiempos de modificación y acceso, junto con recuentos de acceso. Los archivos de historial se encuentran en %userprofile%\Appdata\Local\Microsoft\Windows\History
.
URLs escritas
Las URLs escritas y sus tiempos de uso se almacenan en el registro en NTUSER.DAT
en Software\Microsoft\InternetExplorer\TypedURLs
y Software\Microsoft\InternetExplorer\TypedURLsTime
, rastreando las últimas 50 URLs ingresadas por el usuario y sus últimos tiempos de entrada.
Microsoft Edge
Microsoft Edge almacena datos de usuario en %userprofile%\Appdata\Local\Packages
. Las rutas para varios tipos de datos son:
Ruta del perfil:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
Historial, cookies y descargas:
C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Configuraciones, marcadores y lista de lectura:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Caché:
C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Últimas sesiones activas:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari
Los datos de Safari se almacenan en /Users/$User/Library/Safari
. Los archivos clave incluyen:
History.db: Contiene tablas
history_visits
yhistory_items
con URLs y marcas de tiempo de visita. Usasqlite3
para consultar.Downloads.plist: Información sobre archivos descargados.
Bookmarks.plist: Almacena URLs marcadas.
TopSites.plist: Sitios más visitados.
Extensions.plist: Lista de extensiones del navegador Safari. Usa
plutil
opluginkit
para recuperar.UserNotificationPermissions.plist: Dominios permitidos para enviar notificaciones. Usa
plutil
para analizar.LastSession.plist: Pestañas de la última sesión. Usa
plutil
para analizar.Antiphishing integrado en el navegador: Verifica usando
defaults read com.apple.Safari WarnAboutFraudulentWebsites
. Una respuesta de 1 indica que la función está activa.
Opera
Los datos de Opera residen en /Users/$USER/Library/Application Support/com.operasoftware.Opera
y comparten el formato de Chrome para historial y descargas.
Antiphishing integrado en el navegador: Verifica si
fraud_protection_enabled
en el archivo de Preferencias está configurado entrue
usandogrep
.
Estas rutas y comandos son cruciales para acceder y comprender los datos de navegación almacenados por diferentes navegadores web.
Referencias
Libro: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123
Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas comunitarias más avanzadas del mundo. Accede hoy mismo:
Última actualización