Browser Artifacts
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społeczności na świecie. Otrzymaj dostęp już dziś:
Artefakty przeglądarek
Artefakty przeglądarek obejmują różne rodzaje danych przechowywanych przez przeglądarki internetowe, takie jak historia nawigacji, zakładki i dane pamięci podręcznej. Te artefakty są przechowywane w określonych folderach w systemie operacyjnym, różniących się miejscem i nazwą w zależności od przeglądarki, ale zazwyczaj przechowujących podobne rodzaje danych.
Oto podsumowanie najczęstszych artefaktów przeglądarek:
Historia nawigacji: Śledzi wizyty użytkownika na stronach internetowych, przydatna do identyfikacji wizyt na złośliwych stronach.
Dane autouzupełniania: Sugestie oparte na częstych wyszukiwaniach, oferujące wgląd, gdy są połączone z historią nawigacji.
Zakładki: Strony zapisane przez użytkownika dla szybkiego dostępu.
Rozszerzenia i dodatki: Rozszerzenia przeglądarki lub dodatki zainstalowane przez użytkownika.
Pamięć podręczna: Przechowuje treści internetowe (np. obrazy, pliki JavaScript) w celu poprawy czasów ładowania strony internetowej, wartościowa do analizy sądowej.
Logowanie: Przechowywane dane logowania.
Favicons: Ikony związane z witrynami, pojawiające się w kartach i zakładkach, przydatne do uzyskania dodatkowych informacji o wizytach użytkownika.
Sesje przeglądarki: Dane związane z otwartymi sesjami przeglądarki.
Pobrania: Rejestracje plików pobranych za pomocą przeglądarki.
Dane formularza: Informacje wprowadzone w formularzach internetowych, zapisane do przyszłych sugestii autouzupełniania.
Miniatury: Podglądy stron internetowych.
Custom Dictionary.txt: Słowa dodane przez użytkownika do słownika przeglądarki.
Firefox
Firefox organizuje dane użytkownika w profilach, przechowywanych w określonych lokalizacjach w zależności od systemu operacyjnego:
Linux:
~/.mozilla/firefox/
MacOS:
/Users/$USER/Library/Application Support/Firefox/Profiles/
Windows:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
Plik profiles.ini
w tych katalogach wymienia profile użytkownika. Dane każdego profilu są przechowywane w folderze o nazwie zmiennej Path
w profiles.ini
, znajdującym się w tym samym katalogu co profiles.ini
sam w sobie. Jeśli brakuje folderu profilu, może to oznaczać, że został usunięty.
W każdym folderze profilu można znaleźć kilka ważnych plików:
places.sqlite: Przechowuje historię, zakładki i pobrania. Narzędzia takie jak BrowsingHistoryView w systemie Windows mogą uzyskać dostęp do danych historycznych.
Użyj konkretnych zapytań SQL do wyodrębnienia informacji o historii i pobranych plikach.
bookmarkbackups: Zawiera kopie zapasowe zakładek.
formhistory.sqlite: Przechowuje dane formularzy internetowych.
handlers.json: Zarządza obsługą protokołów.
persdict.dat: Słowa z niestandardowego słownika.
addons.json i extensions.sqlite: Informacje o zainstalowanych dodatkach i rozszerzeniach.
cookies.sqlite: Przechowywanie plików cookie, z MZCookiesView dostępnym do inspekcji w systemie Windows.
cache2/entries lub startupCache: Dane pamięci podręcznej, dostępne za pomocą narzędzi takich jak MozillaCacheView.
favicons.sqlite: Przechowuje favikony.
prefs.js: Ustawienia i preferencje użytkownika.
downloads.sqlite: Starsza baza danych pobranych plików, teraz zintegrowana z places.sqlite.
thumbnails: Miniatury stron internetowych.
logins.json: Zaszyfrowane informacje logowania.
key4.db lub key3.db: Przechowuje klucze szyfrowania do zabezpieczania wrażliwych informacji.
Dodatkowo, sprawdzenie ustawień anty-phishing przeglądarki można wykonać, wyszukując wpisy browser.safebrowsing
w prefs.js
, wskazujące, czy funkcje bezpiecznego przeglądania są włączone czy wyłączone.
Aby spróbować odszyfrować główne hasło, można skorzystać z https://github.com/unode/firefox_decrypt Z poniższym skryptem i wywołaniem można określić plik hasła do ataku brutalnej siły:
Google Chrome
Google Chrome przechowuje profile użytkownika w określonych lokalizacjach w zależności od systemu operacyjnego:
Linux:
~/.config/google-chrome/
Windows:
C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS:
/Users/$USER/Library/Application Support/Google/Chrome/
W tych katalogach większość danych użytkownika można znaleźć w folderach Default/ lub ChromeDefaultData/. Poniższe pliki przechowują istotne dane:
History: Zawiera adresy URL, pobrania i słowa kluczowe wyszukiwania. Na systemie Windows można użyć ChromeHistoryView do odczytania historii. Kolumna "Typ przejścia" ma różne znaczenia, w tym kliknięcia użytkownika w linki, wpisane adresy URL, przesłane formularze i przeładowania strony.
Cookies: Przechowuje pliki cookie. Do inspekcji dostępne jest narzędzie ChromeCookiesView.
Cache: Przechowuje dane z pamięci podręcznej. Użytkownicy systemu Windows mogą skorzystać z ChromeCacheView do inspekcji.
Zakładki: Zakładki użytkownika.
Web Data: Zawiera historię formularzy.
Favicons: Przechowuje ikony stron internetowych.
Login Data: Zawiera dane logowania, takie jak nazwy użytkowników i hasła.
Aktualna sesja/Aktualne karty: Dane dotyczące bieżącej sesji przeglądania i otwartych kart.
Ostatnia sesja/Ostatnie karty: Informacje o aktywnych stronach podczas ostatniej sesji przed zamknięciem Chrome.
Rozszerzenia: Katalogi dla rozszerzeń i dodatków przeglądarki.
Miniaturki: Przechowuje miniaturki stron internetowych.
Preferencje: Plik bogaty w informacje, zawierający ustawienia dla wtyczek, rozszerzeń, wyskakujących okien, powiadomień i innych.
Wbudowana ochrona przed phishingiem przeglądarki: Aby sprawdzić, czy ochrona przed phishingiem i złośliwym oprogramowaniem jest włączona, uruchom polecenie
grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
. Szukaj{"enabled: true,"}
w wyniku.
Odzyskiwanie danych z bazy danych SQLite
Jak można zauważyć w poprzednich sekcjach, zarówno Chrome, jak i Firefox używają baz danych SQLite do przechowywania danych. Możliwe jest odzyskanie usuniętych wpisów za pomocą narzędzia sqlparse lub sqlparse_gui.
Internet Explorer 11
Internet Explorer 11 zarządza swoimi danymi i metadanymi w różnych lokalizacjach, ułatwiając oddzielenie przechowywanych informacji i odpowiadających im szczegółów dla łatwego dostępu i zarządzania.
Przechowywanie metadanych
Metadane dla Internet Explorera są przechowywane w %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
(gdzie VX to V01, V16 lub V24). Towarzyszący temu plik V01.log
może wykazywać rozbieżności czasu modyfikacji w porównaniu z WebcacheVX.data
, co wskazuje na konieczność naprawy za pomocą esentutl /r V01 /d
. Te metadane, przechowywane w bazie danych ESE, można odzyskać i inspirować za pomocą narzędzi takich jak photorec i ESEDatabaseView. W tabeli Containers można rozróżnić konkretne tabele lub kontenery, w których przechowywany jest każdy segment danych, w tym szczegóły pamięci podręcznej dla innych narzędzi Microsoftu, takich jak Skype.
Inspekcja pamięci podręcznej
Narzędzie IECacheView umożliwia inspekcję pamięci podręcznej, wymagając lokalizacji folderu z ekstrakcją danych pamięci podręcznej. Metadane pamięci podręcznej obejmują nazwę pliku, katalog, liczbę dostępów, pochodzenie URL i znaczniki czasowe wskazujące czasy tworzenia, dostępu, modyfikacji i wygaśnięcia pamięci podręcznej.
Zarządzanie plikami cookie
Pliki cookie można badać za pomocą IECookiesView, a metadane obejmują nazwy, adresy URL, liczby dostępów i różne szczegóły związane z czasem. Trwałe pliki cookie są przechowywane w %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
, a pliki sesji w pamięci.
Szczegóły pobierania
Metadane pobierania są dostępne za pomocą ESEDatabaseView, a konkretne kontenery przechowują dane, takie jak URL, typ pliku i lokalizację pobierania. Fizyczne pliki można znaleźć w %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
.
Historia przeglądania
Aby przejrzeć historię przeglądania, można użyć BrowsingHistoryView, wymagając lokalizacji wyodrębnionych plików historii i konfiguracji dla Internet Explorera. Metadane obejmują czasy modyfikacji i dostępu, wraz z liczbą dostępów. Pliki historii znajdują się w %userprofile%\Appdata\Local\Microsoft\Windows\History
.
Wpisywane adresy URL
Wpisywane adresy URL i ich czasy użycia są przechowywane w rejestrze pod NTUSER.DAT
w Software\Microsoft\InternetExplorer\TypedURLs
i Software\Microsoft\InternetExplorer\TypedURLsTime
, śledząc ostatnie 50 adresów URL wprowadzonych przez użytkownika i ich ostatnie czasy wprowadzenia.
Microsoft Edge
Microsoft Edge przechowuje dane użytkownika w %userprofile%\Appdata\Local\Packages
. Ścieżki do różnych typów danych to:
Ścieżka profilu:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
Historia, pliki cookie i pobrania:
C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Ustawienia, zakładki i lista czytania:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Pamięć podręczna:
C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Ostatnie aktywne sesje:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari
Dane Safari są przechowywane w /Users/$User/Library/Safari
. Kluczowe pliki to:
History.db: Zawiera tabele
history_visits
ihistory_items
z adresami URL i znacznikami czasowymi wizyt. Użyjsqlite3
do zapytań.Downloads.plist: Informacje o pobranych plikach.
Bookmarks.plist: Przechowuje adresy URL zakładek.
TopSites.plist: Najczęściej odwiedzane strony.
Extensions.plist: Lista rozszerzeń przeglądarki Safari. Użyj
plutil
lubpluginkit
do odzyskania.UserNotificationPermissions.plist: Domeny uprawnione do wysyłania powiadomień. Użyj
plutil
do analizy.LastSession.plist: Karty z ostatniej sesji. Użyj
plutil
do analizy.Wbudowana ochrona przed phishingiem przeglądarki: Sprawdź za pomocą
defaults read com.apple.Safari WarnAboutFraudulentWebsites
. Odpowiedź 1 oznacza, że funkcja jest aktywna.
Opera
Dane Opery znajdują się w /Users/$USER/Library/Application Support/com.operasoftware.Opera
i dzieli format historii i pobierania z Chrome.
Wbudowana ochrona przed phishingiem przeglądarki: Zweryfikuj, sprawdzając, czy
fraud_protection_enabled
w pliku Preferencje jest ustawione natrue
za pomocągrep
.
Te ścieżki i polecenia są kluczowe dla dostępu i zrozumienia danych przeglądania przechowywanych przez różne przeglądarki internetowe.
Referencje
Książka: OS X Incident Response: Scripting and Analysis By Jaron Bradley strona 123
Użyj Trickest, aby łatwo tworzyć i automatyzować zadania zasilane przez najbardziej zaawansowane narzędzia społeczności. Zdobądź dostęp już dziś:
Last updated