Browser Artifacts
Tumia Trickest kujenga na kutumia mifumo ya kazi iliyosukumwa na zana za jamii za juu zaidi duniani. Pata Ufikiaji Leo:
Vifaa vya Kivinjari
Vifaa vya kivinjari ni pamoja na aina mbalimbali za data zilizohifadhiwa na vivinjari vya wavuti, kama historia ya urambazaji, alamisho, na data ya cache. Vifaa hivi vinafanyiwa kazi katika folda maalum ndani ya mfumo wa uendeshaji, tofauti katika eneo na jina kati ya vivinjari, lakini kwa ujumla vinahifadhi aina sawa za data.
Hapa kuna muhtasari wa vifaa vya kivinjari vya kawaida:
Historia ya Urambazi: Inachunguza ziara za mtumiaji kwenye tovuti, muhimu kwa kutambua ziara kwenye tovuti zenye nia mbaya.
Data ya Kiotomatiki: Mapendekezo kulingana na utafutaji wa mara kwa mara, kutoa ufahamu unapounganishwa na historia ya urambazaji.
Alamisho: Tovuti zilizohifadhiwa na mtumiaji kwa ufikio wa haraka.
Vifaa vya Nyongeza na Ongeza: Vifaa vya kivinjari au ongeza zilizowekwa na mtumiaji.
Cache: Inahifadhi maudhui ya wavuti (k.m., picha, faili za JavaScript) kuboresha nyakati za kupakia wavuti, muhimu kwa uchambuzi wa kiforensiki.
Kuingia: Anuwai ya vibali vya kuingia.
Favicons: Picha za alama zinazohusishwa na tovuti, zinazoonekana kwenye vichupo na alamisho, muhimu kwa habari zaidi kuhusu ziara za mtumiaji.
Vikao vya Kivinjari: Data inayohusiana na vikao vya kivinjari vilivyofunguliwa.
Upakuaji: Rekodi za faili zilizopakuliwa kupitia kivinjari.
Data ya Fomu: Taarifa zilizoingizwa kwenye fomu za wavuti, zilizohifadhiwa kwa mapendekezo ya kiotomatiki ya baadaye.
Vielelezo: Picha za hakikisho za wavuti.
Custom Dictionary.txt: Maneno yaliyoongezwa na mtumiaji kwenye kamusi ya kivinjari.
Firefox
Firefox inaandaa data ya mtumiaji ndani ya maelezo, yaliyohifadhiwa katika maeneo maalum kulingana na mfumo wa uendeshaji:
Linux:
~/.mozilla/firefox/
MacOS:
/Users/$USER/Library/Application Support/Firefox/Profiles/
Windows:
%userprofile%\AppData\Roaming/Mozilla/Firefox/Profiles/
Faili ya profiles.ini
ndani ya maelezo haya inaorodhesha maelezo ya mtumiaji. Data ya kila maelezo imehifadhiwa katika folda iliyoitwa katika kipengele cha Path
ndani ya profiles.ini
, iliyoko katika saraka ile ile kama profiles.ini
yenyewe. Ikiwa saraka ya maelezo imekosekana, inaweza kuwa imefutwa.
Ndani ya kila saraka ya maelezo, unaweza kupata faili muhimu kadhaa:
places.sqlite: Inahifadhi historia, alamisho, na upakuaji. Zana kama BrowsingHistoryView kwenye Windows inaweza kupata data ya historia.
Tumia matakwa maalum ya SQL kutoa habari ya historia na upakuaji.
bookmarkbackups: Ina nakala rudufu za alamisho.
formhistory.sqlite: Inahifadhi data ya fomu za wavuti.
handlers.json: Inasimamia wakala wa itifaki.
persdict.dat: Maneno ya kamusi ya kawaida.
addons.json na extensions.sqlite: Taarifa kuhusu vifaa vya nyongeza na ongeza vilivyowekwa.
cookies.sqlite: Uhifadhi wa kuki, na MZCookiesView inapatikana kwa ukaguzi kwenye Windows.
cache2/entries au startupCache: Data ya cache, inayopatikana kupitia zana kama MozillaCacheView.
favicons.sqlite: Inahifadhi favicons.
prefs.js: Mipangilio na mapendeleo ya mtumiaji.
downloads.sqlite: Hifadhidata ya upakuaji wa zamani, sasa imejumuishwa ndani ya places.sqlite.
thumbnails: Vielelezo vya wavuti.
logins.json: Taarifa za kuingia zilizofichwa.
key4.db au key3.db: Inahifadhi funguo za kufichua habari nyeti.
Kwa kuongezea, kuangalia mipangilio ya kuzuia udukuzi wa kivinjari kunaweza kufanywa kwa kutafuta viingilio vya browser.safebrowsing
katika prefs.js
, ikionyesha ikiwa vipengele vya kivinjari salama vimeanzishwa au havijaanzishwa.
Kujaribu kufichua nywila kuu, unaweza kutumia https://github.com/unode/firefox_decrypt Kwa skripti ifuatayo na wito unaweza kufafanua faili ya nywila ya kufanya nguvu ya nguvu:
Google Chrome
Google Chrome hifadhi maelezo ya mtumiaji katika maeneo maalum kulingana na mfumo wa uendeshaji:
Linux:
~/.config/google-chrome/
Windows:
C:\Users\XXX\AppData\Local\Google\Chrome\User Data\
MacOS:
/Users/$USER/Library/Application Support/Google/Chrome/
Katika mabano haya, data nyingi ya mtumiaji inaweza kupatikana katika folda za Default/ au ChromeDefaultData/. Faili zifuatazo zina data muhimu:
History: Ina URL, vipakuliwa, na maneno muhimu ya utafutaji. Kwenye Windows, ChromeHistoryView inaweza kutumika kusoma historia. Safu ya "Transition Type" ina maana mbalimbali, ikiwa ni pamoja na bonyeza za mtumiaji kwenye viungo, URL zilizotyped, maingizo ya fomu, na upyaishaji wa ukurasa.
Cookies: Hifadhi vidakuzi. Kwa ukaguzi, ChromeCookiesView inapatikana.
Cache: Inashikilia data iliyohifadhiwa. Kwa ukaguzi, watumiaji wa Windows wanaweza kutumia ChromeCacheView.
Bookmarks: Alama za mtumiaji.
Web Data: Ina historia ya fomu.
Favicons: Hifadhi alama za tovuti.
Login Data: Inajumuisha vitambulisho vya kuingia kama majina ya mtumiaji na nywila.
Current Session/Current Tabs: Data kuhusu kikao cha kuvinjari cha sasa na vichupo vilivyofunguliwa.
Last Session/Last Tabs: Taarifa kuhusu tovuti zilizokuwa zinaendeshwa wakati wa kikao cha mwisho kabla ya Chrome kufungwa.
Extensions: Mafaili kwa ajili ya nyongeza na vifaa vya kivinjari.
Thumbnails: Hifadhi picha ndogo za tovuti.
Preferences: Faili tajiri kwa maelezo, ikiwa ni pamoja na mipangilio kwa ajili ya programu-jalizi, nyongeza, pop-ups, taarifa, na zaidi.
Kuzuia zisizo za kivinjari: Ili kuchunguza kama kuzuia zisizo za kivinjari na ulinzi wa programu hasidi umewezeshwa, endesha
grep 'safebrowsing' ~/Library/Application Support/Google/Chrome/Default/Preferences
. Tafuta{"enabled: true,"}
kwenye matokeo.
Uokoaji wa Data ya SQLite DB
Kama unavyoweza kuona katika sehemu zilizopita, Chrome na Firefox hutumia SQLite databases kuhifadhi data. Ni rahisi kuokoa vipande vilivyofutwa kwa kutumia zana sqlparse au sqlparse_gui.
Internet Explorer 11
Internet Explorer 11 inasimamia data yake na metadata katika maeneo mbalimbali, ikisaidia katika kutenganisha maelezo yaliyohifadhiwa na maelezo yanayohusiana kwa ajili ya ufikiaji na usimamizi rahisi.
Uhifadhi wa Metadata
Metadata ya Internet Explorer inahifadhiwa katika %userprofile%\Appdata\Local\Microsoft\Windows\WebCache\WebcacheVX.data
(na VX ikiwa V01, V16, au V24). Pamoja na hili, faili ya V01.log
inaweza kuonyesha tofauti za muda wa marekebisho na WebcacheVX.data
, ikionyesha haja ya marekebisho kwa kutumia esentutl /r V01 /d
. Metadata hii, iliyohifadhiwa katika database ya ESE, inaweza kuokolewa na kukaguliwa kwa kutumia zana kama photorec na ESEDatabaseView, mtawalia. Ndani ya jedwali la Containers, mtu anaweza kutofautisha jedwali au kontena maalum ambapo kila sehemu ya data inahifadhiwa, ikiwa ni pamoja na maelezo ya cache kwa zana zingine za Microsoft kama vile Skype.
Ukaguzi wa Cache
Zana ya IECacheView inaruhusu ukaguzi wa cache, ikihitaji eneo la folda ya uchimbaji wa data ya cache. Metadata kwa ajili ya cache inajumuisha jina la faili, saraka, idadi ya ufikiaji, asili ya URL, na alama za muda zinazoonyesha uundaji wa cache, ufikiaji, marekebisho, na nyakati za kumalizika.
Usimamizi wa Vidakuzi
Vidakuzi vinaweza kuchunguzwa kwa kutumia IECookiesView, na metadata inajumuisha majina, URL, idadi ya ufikiaji, na maelezo mbalimbali yanayohusiana na muda. Vidakuzi endelevu hifadhiwa katika %userprofile%\Appdata\Roaming\Microsoft\Windows\Cookies
, na vidakuzi vya kikao vinaishi kwenye kumbukumbu.
Maelezo ya Vipakuliwa
Metadata ya vipakuliwa inapatikana kupitia ESEDatabaseView, na kontena maalum zikishikilia data kama URL, aina ya faili, na eneo la kupakua. Faili za kimwili zinaweza kupatikana chini ya %userprofile%\Appdata\Roaming\Microsoft\Windows\IEDownloadHistory
.
Historia ya Uvinjari
Ili kupitia historia ya uvinjari, BrowsingHistoryView inaweza kutumika, ikihitaji eneo la faili za historia zilizochimbuliwa na usanidi kwa Internet Explorer. Metadata hapa inajumuisha muda wa marekebisho na ufikiaji, pamoja na idadi ya ufikiaji. Faili za historia zinapatikana katika %userprofile%\Appdata\Local\Microsoft\Windows\History
.
URL Zilizotyped
URL zilizotyped na nyakati zao za matumizi zinahifadhiwa ndani ya usajili chini ya NTUSER.DAT
kwenye Software\Microsoft\InternetExplorer\TypedURLs
na Software\Microsoft\InternetExplorer\TypedURLsTime
, ikifuatilia URL 50 za mwisho zilizoingizwa na mtumiaji na nyakati zao za mwisho za kuingizwa.
Microsoft Edge
Microsoft Edge inahifadhi data ya mtumiaji katika %userprofile%\Appdata\Local\Packages
. Njia za aina mbalimbali za data ni:
Njia ya Wasifu:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC
Historia, Vidakuzi, na Vipakuliwa:
C:\Users\XX\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat
Mipangilio, Alama za Kumbukumbu, na Orodha ya Kusoma:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\XXX\DBStore\spartan.edb
Cache:
C:\Users\XXX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC#!XXX\MicrosoftEdge\Cache
Vikao Vilivyokuwa Vinaendeshwa Mwisho:
C:\Users\XX\AppData\Local\Packages\Microsoft.MicrosoftEdge_XXX\AC\MicrosoftEdge\User\Default\Recovery\Active
Safari
Data ya Safari inahifadhiwa katika /Users/$User/Library/Safari
. Faili muhimu ni pamoja na:
History.db: Ina
history_visits
na jedwali lahistory_items
na URL na alama za muda wa ziara. Tumiasqlite3
kufanya utafutaji.Downloads.plist: Maelezo kuhusu faili zilizopakuliwa.
Bookmarks.plist: Hifadhi URL zilizopangwa.
TopSites.plist: Tovuti zilizotembelewa mara nyingi.
Extensions.plist: Orodha ya nyongeza za kivinjari cha Safari. Tumia
plutil
aupluginkit
kufikia.UserNotificationPermissions.plist: Vipengele vilivyoidhinishwa kutoa taarifa. Tumia
plutil
kuchambua.LastSession.plist: Vichupo kutoka kikao cha mwisho. Tumia
plutil
kuchambua.Kuzuia zisizo za kivinjari: Angalia kwa kutumia
defaults read com.apple.Safari WarnAboutFraudulentWebsites
. Majibu ya 1 inaonyesha kipengele kinafanya kazi.
Opera
Data ya Opera iko katika /Users/$USER/Library/Application Support/com.operasoftware.Opera
na inashiriki muundo wa Chrome kwa historia na vipakuliwa.
Kuzuia zisizo za kivinjari: Thibitisha kwa kuangalia kama
fraud_protection_enabled
katika faili ya Mapendeleo imeelekezwa kwatrue
kwa kutumiagrep
.
Njia hizi na amri ni muhimu kwa ajili ya kupata na kuelewa data ya uvinjari iliyohifadhiwa na vivinjari tofauti vya wavuti.
Marejeo
Kitabu: OS X Incident Response: Scripting and Analysis By Jaron Bradley ukurasa 123
Tumia Trickest kujenga na kutumia taratibu za kiotomatiki zilizotengenezwa na zana za jamii za juu zaidi duniani. Pata Ufikiaji Leo:
Last updated