Browser Artifacts
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Browsers Artifacts
Browser artifacts में विभिन्न प्रकार के डेटा शामिल होते हैं जो वेब ब्राउज़रों द्वारा संग्रहीत किए जाते हैं, जैसे कि नेविगेशन इतिहास, बुकमार्क, और कैश डेटा। ये आर्टिफैक्ट्स ऑपरेटिंग सिस्टम के भीतर विशिष्ट फ़ोल्डरों में रखे जाते हैं, जो ब्राउज़रों के बीच स्थान और नाम में भिन्न होते हैं, फिर भी सामान्यतः समान डेटा प्रकारों को संग्रहीत करते हैं।
यहाँ सबसे सामान्य ब्राउज़र आर्टिफैक्ट्स का सारांश है:
नेविगेशन इतिहास: उपयोगकर्ता द्वारा वेबसाइटों पर किए गए दौरे को ट्रैक करता है, जो दुर्भावनापूर्ण साइटों पर दौरे की पहचान करने के लिए उपयोगी है।
ऑटो-कंप्लीट डेटा: बार-बार किए गए खोजों के आधार पर सुझाव, जो नेविगेशन इतिहास के साथ मिलाकर अंतर्दृष्टि प्रदान करते हैं।
बुकमार्क्स: उपयोगकर्ता द्वारा त्वरित पहुँच के लिए सहेजे गए साइटें।
एक्सटेंशन और ऐड-ऑन: उपयोगकर्ता द्वारा स्थापित ब्राउज़र एक्सटेंशन या ऐड-ऑन।
कैश: वेबसाइट लोडिंग समय में सुधार के लिए वेब सामग्री (जैसे, चित्र, जावास्क्रिप्ट फ़ाइलें) को संग्रहीत करता है, फोरेंसिक विश्लेषण के लिए मूल्यवान।
लॉगिन: संग्रहीत लॉगिन क्रेडेंशियल्स।
फेविकॉन: वेबसाइटों से जुड़े आइकन, जो टैब और बुकमार्क में दिखाई देते हैं, उपयोगकर्ता दौरे पर अतिरिक्त जानकारी के लिए उपयोगी।
ब्राउज़र सत्र: खुले ब्राउज़र सत्रों से संबंधित डेटा।
डाउनलोड: ब्राउज़र के माध्यम से डाउनलोड की गई फ़ाइलों का रिकॉर्ड।
फॉर्म डेटा: वेब फॉर्म में दर्ज की गई जानकारी, भविष्य के ऑटोफिल सुझावों के लिए सहेजी गई।
थंबनेल: वेबसाइटों की पूर्वावलोकन छवियाँ।
कस्टम डिक्शनरी.txt: ब्राउज़र के डिक्शनरी में उपयोगकर्ता द्वारा जोड़े गए शब्द।
Firefox
Firefox उपयोगकर्ता डेटा को प्रोफाइल में व्यवस्थित करता है, जो ऑपरेटिंग सिस्टम के आधार पर विशिष्ट स्थानों में संग्रहीत होते हैं:
Linux:
~/.mozilla/firefox/
MacOS:
/Users/$USER/Library/Application Support/Firefox/Profiles/
Windows:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
इन निर्देशिकाओं में एक profiles.ini
फ़ाइल उपयोगकर्ता प्रोफाइल की सूची बनाती है। प्रत्येक प्रोफाइल का डेटा profiles.ini
में Path
वेरिएबल में नामित फ़ोल्डर में संग्रहीत होता है, जो profiles.ini
के समान निर्देशिका में स्थित होता है। यदि किसी प्रोफाइल का फ़ोल्डर गायब है, तो इसे हटाया जा सकता है।
प्रत्येक प्रोफाइल फ़ोल्डर के भीतर, आप कई महत्वपूर्ण फ़ाइलें पा सकते हैं:
places.sqlite: इतिहास, बुकमार्क, और डाउनलोड संग्रहीत करता है। Windows पर BrowsingHistoryView जैसे उपकरण इतिहास डेटा तक पहुँच सकते हैं।
इतिहास और डाउनलोड जानकारी निकालने के लिए विशिष्ट SQL क्वेरी का उपयोग करें।
bookmarkbackups: बुकमार्क के बैकअप को शामिल करता है।
formhistory.sqlite: वेब फॉर्म डेटा संग्रहीत करता है।
handlers.json: प्रोटोकॉल हैंडलर्स का प्रबंधन करता है।
persdict.dat: कस्टम डिक्शनरी शब्द।
addons.json और extensions.sqlite: स्थापित ऐड-ऑन और एक्सटेंशन की जानकारी।
cookies.sqlite: कुकी संग्रहण, Windows पर निरीक्षण के लिए MZCookiesView उपलब्ध है।
cache2/entries या startupCache: कैश डेटा, MozillaCacheView जैसे उपकरणों के माध्यम से पहुँच योग्य।
favicons.sqlite: फेविकॉन संग्रहीत करता है।
prefs.js: उपयोगकर्ता सेटिंग्स और प्राथमिकताएँ।
downloads.sqlite: पुरानी डाउनलोड डेटाबेस, अब places.sqlite में एकीकृत।
thumbnails: वेबसाइट थंबनेल।
logins.json: एन्क्रिप्टेड लॉगिन जानकारी।
key4.db या key3.db: संवेदनशील जानकारी को सुरक्षित करने के लिए एन्क्रिप्शन कुंजी संग्रहीत करता है।
अतिरिक्त रूप से, ब्राउज़र के एंटी-फिशिंग सेटिंग्स की जाँच prefs.js
में browser.safebrowsing
प्रविष्टियों की खोज करके की जा सकती है, जो यह संकेत करती है कि सुरक्षित ब्राउज़िंग सुविधाएँ सक्षम या अक्षम हैं।
मास्टर पासवर्ड को डिक्रिप्ट करने का प्रयास करने के लिए, आप https://github.com/unode/firefox_decrypt का उपयोग कर सकते हैं इस स्क्रिप्ट और कॉल के साथ आप ब्रूट फोर्स करने के लिए एक पासवर्ड फ़ाइल निर्दिष्ट कर सकते हैं:
Google Chrome
Google Chrome उपयोगकर्ता प्रोफाइल को ऑपरेटिंग सिस्टम के आधार पर विशिष्ट स्थानों में संग्रहीत करता है:
Linux:
~/.config/google-chrome/
Windows:
C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS:
/Users/$USER/Library/Application Support/Google/Chrome/
इन निर्देशिकाओं के भीतर, अधिकांश उपयोगकर्ता डेटा Default/ या ChromeDefaultData/ फ़ोल्डरों में पाया जा सकता है। निम्नलिखित फ़ाइलें महत्वपूर्ण डेटा रखती हैं:
History: URLs, डाउनलोड और खोज कीवर्ड शामिल हैं। Windows पर, ChromeHistoryView का उपयोग इतिहास पढ़ने के लिए किया जा सकता है। "Transition Type" कॉलम में विभिन्न अर्थ होते हैं, जिसमें उपयोगकर्ता द्वारा लिंक पर क्लिक करना, टाइप किए गए URLs, फ़ॉर्म सबमिशन और पृष्ठ पुनः लोड करना शामिल है।
Cookies: कुकीज़ संग्रहीत करता है। निरीक्षण के लिए, ChromeCookiesView उपलब्ध है।
Cache: कैश डेटा रखता है। निरीक्षण के लिए, Windows उपयोगकर्ता ChromeCacheView का उपयोग कर सकते हैं।
Bookmarks: उपयोगकर्ता बुकमार्क।
Web Data: फ़ॉर्म इतिहास शामिल है।
Favicons: वेबसाइट के फ़ेविकॉन संग्रहीत करता है।
Login Data: उपयोगकर्ता नाम और पासवर्ड जैसे लॉगिन क्रेडेंशियल्स शामिल हैं।
Current Session/Current Tabs: वर्तमान ब्राउज़िंग सत्र और खुले टैब के बारे में डेटा।
Last Session/Last Tabs: Chrome बंद होने से पहले अंतिम सत्र के दौरान सक्रिय साइटों के बारे में जानकारी।
Extensions: ब्राउज़र एक्सटेंशन और ऐड-ऑन के लिए निर्देशिकाएँ।
Thumbnails: वेबसाइट के थंबनेल संग्रहीत करता है।
Preferences: जानकारी से भरपूर फ़ाइल, जिसमें प्लगइन्स, एक्सटेंशन, पॉप-अप, सूचनाएँ और अधिक के लिए सेटिंग्स शामिल हैं।
Browser’s built-in anti-phishing: यह जांचने के लिए कि क्या एंटी-फिशिंग और मैलवेयर सुरक्षा सक्षम है,
grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
चलाएँ। आउटपुट में{"enabled: true,"}
देखें।
SQLite DB Data Recovery
जैसा कि आप पिछले अनुभागों में देख सकते हैं, Chrome और Firefox दोनों SQLite डेटाबेस का उपयोग डेटा संग्रहीत करने के लिए करते हैं। टूल का उपयोग करके हटाए गए प्रविष्टियों को पुनर्प्राप्त करना संभव है sqlparse या sqlparse_gui।
Internet Explorer 11
Internet Explorer 11 अपने डेटा और मेटाडेटा को विभिन्न स्थानों में प्रबंधित करता है, संग्रहीत जानकारी और इसके संबंधित विवरणों को अलग करने में मदद करता है ताकि आसानी से पहुँच और प्रबंधन किया जा सके।
Metadata Storage
Internet Explorer के लिए मेटाडेटा %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
में संग्रहीत होता है (जहाँ VX V01, V16, या V24 हो सकता है)। इसके साथ, V01.log
फ़ाइल में WebcacheVX.data
के साथ संशोधन समय में असमानताएँ दिखाई दे सकती हैं, जो esentutl /r V01 /d
का उपयोग करके मरम्मत की आवश्यकता को इंगित करती हैं। यह मेटाडेटा, जो ESE डेटाबेस में स्थित है, को photorec और ESEDatabaseView जैसे टूल का उपयोग करके पुनर्प्राप्त और निरीक्षण किया जा सकता है। Containers तालिका के भीतर, आप यह पहचान सकते हैं कि प्रत्येक डेटा खंड कहाँ संग्रहीत है, जिसमें अन्य Microsoft टूल जैसे Skype के लिए कैश विवरण शामिल हैं।
Cache Inspection
IECacheView टूल कैश निरीक्षण की अनुमति देता है, जिसमें कैश डेटा निकालने के लिए फ़ोल्डर स्थान की आवश्यकता होती है। कैश के लिए मेटाडेटा में फ़ाइल नाम, निर्देशिका, पहुँच संख्या, URL मूल, और कैश निर्माण, पहुँच, संशोधन, और समाप्ति समय को इंगित करने वाले टाइमस्टैम्प शामिल हैं।
Cookies Management
कुकीज़ को IECookiesView का उपयोग करके खोजा जा सकता है, जिसमें मेटाडेटा नाम, URLs, पहुँच संख्या, और विभिन्न समय-संबंधित विवरण शामिल हैं। स्थायी कुकीज़ %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
में संग्रहीत होती हैं, जबकि सत्र कुकीज़ मेमोरी में रहती हैं।
Download Details
डाउनलोड मेटाडेटा ESEDatabaseView के माध्यम से सुलभ है, जिसमें विशिष्ट कंटेनर डेटा जैसे URL, फ़ाइल प्रकार, और डाउनलोड स्थान रखता है। भौतिक फ़ाइलें %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
के अंतर्गत पाई जा सकती हैं।
Browsing History
ब्राउज़िंग इतिहास की समीक्षा करने के लिए, BrowsingHistoryView का उपयोग किया जा सकता है, जिसमें निकाले गए इतिहास फ़ाइलों का स्थान और Internet Explorer के लिए कॉन्फ़िगरेशन की आवश्यकता होती है। यहाँ मेटाडेटा में संशोधन और पहुँच समय, साथ ही पहुँच संख्या शामिल है। इतिहास फ़ाइलें %userprofile%\Appdata\Local\Microsoft\Windows\History
में स्थित हैं।
Typed URLs
टाइप किए गए URLs और उनके उपयोग समय को रजिस्ट्री में NTUSER.DAT
के अंतर्गत Software\Microsoft\InternetExplorer\TypedURLs
और Software\Microsoft\InternetExplorer\TypedURLsTime
में संग्रहीत किया जाता है, जो उपयोगकर्ता द्वारा दर्ज किए गए अंतिम 50 URLs और उनके अंतिम इनपुट समय को ट्रैक करता है।
Microsoft Edge
Microsoft Edge उपयोगकर्ता डेटा को %userprofile%\Appdata\Local\Packages
में संग्रहीत करता है। विभिन्न डेटा प्रकारों के लिए पथ हैं:
Profile Path:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
History, Cookies, and Downloads:
C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Settings, Bookmarks, and Reading List:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache:
C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Last Active Sessions:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari
Safari डेटा /Users/$User/Library/Safari
में संग्रहीत होता है। प्रमुख फ़ाइलें शामिल हैं:
History.db:
history_visits
औरhistory_items
तालिकाएँ URLs और यात्रा के टाइमस्टैम्प के साथ। क्वेरी करने के लिएsqlite3
का उपयोग करें।Downloads.plist: डाउनलोड की गई फ़ाइलों के बारे में जानकारी।
Bookmarks.plist: बुकमार्क किए गए URLs संग्रहीत करता है।
TopSites.plist: सबसे अधिक देखी जाने वाली साइटें।
Extensions.plist: Safari ब्राउज़र एक्सटेंशन की सूची। पुनर्प्राप्त करने के लिए
plutil
याpluginkit
का उपयोग करें।UserNotificationPermissions.plist: डोमेन जो सूचनाएँ भेजने की अनुमति देते हैं। पार्स करने के लिए
plutil
का उपयोग करें।LastSession.plist: अंतिम सत्र के टैब। पार्स करने के लिए
plutil
का उपयोग करें।Browser’s built-in anti-phishing: जांचें कि
defaults read com.apple.Safari WarnAboutFraudulentWebsites
का उपयोग करके। 1 का उत्तर संकेत करता है कि यह सुविधा सक्रिय है।
Opera
Opera का डेटा /Users/$USER/Library/Application Support/com.operasoftware.Opera
में स्थित है और इतिहास और डाउनलोड के लिए Chrome के प्रारूप को साझा करता है।
Browser’s built-in anti-phishing: यह सत्यापित करें कि क्या Preferences फ़ाइल में
fraud_protection_enabled
कोtrue
पर सेट किया गया है,grep
का उपयोग करके।
ये पथ और कमांड विभिन्न वेब ब्राउज़रों द्वारा संग्रहीत ब्राउज़िंग डेटा तक पहुँचने और समझने के लिए महत्वपूर्ण हैं।
References
Book: OS X Incident Response: Scripting and Analysis By Jaron Bradley pag 123
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Last updated