Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społeczności na świecie. Otrzymaj dostęp już dziś:

Artefakty przeglądarek

Artefakty przeglądarek obejmują różne rodzaje danych przechowywanych przez przeglądarki internetowe, takie jak historia nawigacji, zakładki i dane pamięci podręcznej. Te artefakty są przechowywane w określonych folderach w systemie operacyjnym, różniących się miejscem i nazwą w zależności od przeglądarki, ale zazwyczaj przechowujących podobne rodzaje danych.

Oto podsumowanie najczęstszych artefaktów przeglądarek:

• Historia nawigacji: Śledzi wizyty użytkownika na stronach internetowych, przydatna do identyfikacji wizyt na złośliwych stronach.

• Dane autouzupełniania: Sugestie oparte na częstych wyszukiwaniach, oferujące wgląd, gdy są połączone z historią nawigacji.

• Zakładki: Strony zapisane przez użytkownika dla szybkiego dostępu.

• Rozszerzenia i dodatki: Rozszerzenia przeglądarki lub dodatki zainstalowane przez użytkownika.

• Pamięć podręczna: Przechowuje treści internetowe (np. obrazy, pliki JavaScript) w celu poprawy czasów ładowania strony internetowej, wartościowa do analizy sądowej.

• Logowanie: Przechowywane dane logowania.

• Favicons: Ikony związane z witrynami, pojawiające się w kartach i zakładkach, przydatne do uzyskania dodatkowych informacji o wizytach użytkownika.

• Sesje przeglądarki: Dane związane z otwartymi sesjami przeglądarki.

• Pobrania: Rejestracje plików pobranych za pomocą przeglądarki.

• Dane formularza: Informacje wprowadzone w formularzach internetowych, zapisane do przyszłych sugestii autouzupełniania.

• Miniatury: Podglądy stron internetowych.

• Custom Dictionary.txt: Słowa dodane przez użytkownika do słownika przeglądarki.

Firefox

Firefox organizuje dane użytkownika w profilach, przechowywanych w określonych lokalizacjach w zależności od systemu operacyjnego:

• Linux: ~/.mozilla/firefox/

• MacOS: /Users/$USER/Library/Application Support/Firefox/Profiles/

• Windows: %userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\

Plik profiles.ini w tych katalogach wymienia profile użytkownika. Dane każdego profilu są przechowywane w folderze o nazwie zmiennej Path w profiles.ini, znajdującym się w tym samym katalogu co profiles.ini sam w sobie. Jeśli brakuje folderu profilu, może to oznaczać, że został usunięty.

W każdym folderze profilu można znaleźć kilka ważnych plików:

• places.sqlite: Przechowuje historię, zakładki i pobrania. Narzędzia takie jak BrowsingHistoryView w systemie Windows mogą uzyskać dostęp do danych historycznych.

• Użyj konkretnych zapytań SQL do wyodrębnienia informacji o historii i pobranych plikach.

• bookmarkbackups: Zawiera kopie zapasowe zakładek.

• formhistory.sqlite: Przechowuje dane formularzy internetowych.

• handlers.json: Zarządza obsługą protokołów.

• persdict.dat: Słowa z niestandardowego słownika.

• addons.json i extensions.sqlite: Informacje o zainstalowanych dodatkach i rozszerzeniach.

• cookies.sqlite: Przechowywanie plików cookie, z MZCookiesView dostępnym do inspekcji w systemie Windows.

• cache2/entries lub startupCache: Dane pamięci podręcznej, dostępne za pomocą narzędzi takich jak MozillaCacheView.

• favicons.sqlite: Przechowuje favikony.

• prefs.js: Ustawienia i preferencje użytkownika.

• downloads.sqlite: Starsza baza danych pobranych plików, teraz zintegrowana z places.sqlite.

• thumbnails: Miniatury stron internetowych.

• logins.json: Zaszyfrowane informacje logowania.

• key4.db lub key3.db: Przechowuje klucze szyfrowania do zabezpieczania wrażliwych informacji.

Dodatkowo, sprawdzenie ustawień anty-phishing przeglądarki można wykonać, wyszukując wpisy browser.safebrowsing w prefs.js, wskazujące, czy funkcje bezpiecznego przeglądania są włączone czy wyłączone.

Aby spróbować odszyfrować główne hasło, można skorzystać z https://github.com/unode/firefox_decrypt Z poniższym skryptem i wywołaniem można określić plik hasła do ataku brutalnej siły:

#!/bin/bash

#./brute.sh top-passwords.txt 2>/dev/null | grep -A2 -B2 "chrome:"
passfile=$1
while read pass; do
echo "Trying $pass"
echo "$pass" | python firefox_decrypt.py
done < $passfile

Google Chrome

Google Chrome przechowuje profile użytkownika w określonych lokalizacjach w zależności od systemu operacyjnego:

• Linux: ~/.config/google-chrome/

• Windows: C:\Users\XXX\AppData\Local\Google\Chrome\User Data\

• MacOS: /Users/$USER/Library/Application Support/Google/Chrome/

W tych katalogach większość danych użytkownika można znaleźć w folderach Default/ lub ChromeDefaultData/. Poniższe pliki przechowują istotne dane:

• History: Zawiera adresy URL, pobrania i słowa kluczowe wyszukiwania. Na systemie Windows można użyć ChromeHistoryView do odczytania historii. Kolumna "Typ przejścia" ma różne znaczenia, w tym kliknięcia użytkownika w linki, wpisane adresy URL, przesłane formularze i przeładowania strony.

• Cookies: Przechowuje pliki cookie. Do inspekcji dostępne jest narzędzie ChromeCookiesView.

• Cache: Przechowuje dane z pamięci podręcznej. Użytkownicy systemu Windows mogą skorzystać z ChromeCacheView do inspekcji.

• Zakładki: Zakładki użytkownika.

• Web Data: Zawiera historię formularzy.

• Favicons: Przechowuje ikony stron internetowych.

• Login Data: Zawiera dane logowania, takie jak nazwy użytkowników i hasła.

• Aktualna sesja/Aktualne karty: Dane dotyczące bieżącej sesji przeglądania i otwartych kart.

• Ostatnia sesja/Ostatnie karty: Informacje o aktywnych stronach podczas ostatniej sesji przed zamknięciem Chrome.

• Rozszerzenia: Katalogi dla rozszerzeń i dodatków przeglądarki.

• Miniaturki: Przechowuje miniaturki stron internetowych.

• Preferencje: Plik bogaty w informacje, zawierający ustawienia dla wtyczek, rozszerzeń, wyskakujących okien, powiadomień i innych.

• Wbudowana ochrona przed phishingiem przeglądarki: Aby sprawdzić, czy ochrona przed phishingiem i złośliwym oprogramowaniem jest włączona, uruchom polecenie grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences. Szukaj {"enabled: true,"} w wyniku.

Odzyskiwanie danych z bazy danych SQLite

Jak można zauważyć w poprzednich sekcjach, zarówno Chrome, jak i Firefox używają baz danych SQLite do przechowywania danych. Możliwe jest odzyskanie usuniętych wpisów za pomocą narzędzia sqlparse lub sqlparse_gui.

Internet Explorer 11

Internet Explorer 11 zarządza swoimi danymi i metadanymi w różnych lokalizacjach, ułatwiając oddzielenie przechowywanych informacji i odpowiadających im szczegółów dla łatwego dostępu i zarządzania.

Przechowywanie metadanych

Metadane dla Internet Explorera są przechowywane w %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data (gdzie VX to V01, V16 lub V24). Towarzyszący temu plik V01.log może wykazywać rozbieżności czasu modyfikacji w porównaniu z WebcacheVX.data, co wskazuje na konieczność naprawy za pomocą esentutl /r V01 /d. Te metadane, przechowywane w bazie danych ESE, można odzyskać i inspirować za pomocą narzędzi takich jak photorec i ESEDatabaseView. W tabeli Containers można rozróżnić konkretne tabele lub kontenery, w których przechowywany jest każdy segment danych, w tym szczegóły pamięci podręcznej dla innych narzędzi Microsoftu, takich jak Skype.

Inspekcja pamięci podręcznej

Narzędzie IECacheView umożliwia inspekcję pamięci podręcznej, wymagając lokalizacji folderu z ekstrakcją danych pamięci podręcznej. Metadane pamięci podręcznej obejmują nazwę pliku, katalog, liczbę dostępów, pochodzenie URL i znaczniki czasowe wskazujące czasy tworzenia, dostępu, modyfikacji i wygaśnięcia pamięci podręcznej.

Zarządzanie plikami cookie

Pliki cookie można badać za pomocą IECookiesView, a metadane obejmują nazwy, adresy URL, liczby dostępów i różne szczegóły związane z czasem. Trwałe pliki cookie są przechowywane w %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies, a pliki sesji w pamięci.

Szczegóły pobierania

Metadane pobierania są dostępne za pomocą ESEDatabaseView, a konkretne kontenery przechowują dane, takie jak URL, typ pliku i lokalizację pobierania. Fizyczne pliki można znaleźć w %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory.

Historia przeglądania

Aby przejrzeć historię przeglądania, można użyć BrowsingHistoryView, wymagając lokalizacji wyodrębnionych plików historii i konfiguracji dla Internet Explorera. Metadane obejmują czasy modyfikacji i dostępu, wraz z liczbą dostępów. Pliki historii znajdują się w %userprofile%\Appdata\Local\Microsoft\Windows\History.

Wpisywane adresy URL

Wpisywane adresy URL i ich czasy użycia są przechowywane w rejestrze pod NTUSER.DAT w Software\Microsoft\InternetExplorer\TypedURLs i Software\Microsoft\InternetExplorer\TypedURLsTime, śledząc ostatnie 50 adresów URL wprowadzonych przez użytkownika i ich ostatnie czasy wprowadzenia.

Microsoft Edge

Microsoft Edge przechowuje dane użytkownika w %userprofile%\Appdata\Local\Packages. Ścieżki do różnych typów danych to:

• Ścieżka profilu: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC

• Historia, pliki cookie i pobrania: C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat

• Ustawienia, zakładki i lista czytania: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb

• Pamięć podręczna: C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache

• Ostatnie aktywne sesje: C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active

Safari

Dane Safari są przechowywane w /Users/$User/Library/Safari. Kluczowe pliki to:

• History.db: Zawiera tabele history_visits i history_items z adresami URL i znacznikami czasowymi wizyt. Użyj sqlite3 do zapytań.

• Downloads.plist: Informacje o pobranych plikach.

• Bookmarks.plist: Przechowuje adresy URL zakładek.

• TopSites.plist: Najczęściej odwiedzane strony.

• Extensions.plist: Lista rozszerzeń przeglądarki Safari. Użyj plutil lub pluginkit do odzyskania.

• UserNotificationPermissions.plist: Domeny uprawnione do wysyłania powiadomień. Użyj plutil do analizy.

• LastSession.plist: Karty z ostatniej sesji. Użyj plutil do analizy.

• Wbudowana ochrona przed phishingiem przeglądarki: Sprawdź za pomocą defaults read com.apple.Safari WarnAboutFraudulentWebsites. Odpowiedź 1 oznacza, że funkcja jest aktywna.

Opera

Dane Opery znajdują się w /Users/$USER/Library/Application Support/com.operasoftware.Opera i dzieli format historii i pobierania z Chrome.

• Wbudowana ochrona przed phishingiem przeglądarki: Zweryfikuj, sprawdzając, czy fraud_protection_enabled w pliku Preferencje jest ustawione na true za pomocą grep.

Te ścieżki i polecenia są kluczowe dla dostępu i zrozumienia danych przeglądania przechowywanych przez różne przeglądarki internetowe.

Referencje

• https://nasbench.medium.com/web-browsers-forensics-7e99940c579a

• https://www.sentinelone.com/labs/macos-incident-response-part-3-system-manipulation/

• https://books.google.com/books?id=jfMqCgAAQBAJ&pg=PA128&lpg=PA128&dq=%22This+file

• Książka: OS X Incident Response: Scripting and Analysis By Jaron Bradley strona 123

Użyj Trickest, aby łatwo tworzyć i automatyzować zadania zasilane przez najbardziej zaawansowane narzędzia społeczności. Zdobądź dostęp już dziś: