Browser-Forensik: Übungsaufgaben und Lösungen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Übungsaufgaben

Aufgabe 1: Chrome-Verlauf analysieren

  • Finde die letzten 10 besuchten Webseiten im Chrome-Verlauf.
  • Notiere URL, Titel und Zeitpunkt des Besuchs.

Aufgabe 2: Firefox-Cookies untersuchen

  • Ermittle, ob ein Login zu "mail.google.com" erfolgt ist.
  • Analysiere die gespeicherten Cookies in Firefox.

Aufgabe 3: Downloads in Chrome prüfen

  • Untersuche die Download-Liste in Chrome.
  • Welche Dateien wurden heruntergeladen? Wann?

Aufgabe 4: Formulardaten in Firefox

  • Ermittle, ob im Firefox Formulardaten gespeichert wurden.
  • Finde alle gespeicherten E-Mail-Adressen.

Aufgabe 5: Timeline-Erstellung

  • Kombiniere Verlauf und Cookies von Chrome oder Firefox.
  • Erstelle eine chronologische Liste aller Web-Aktivitäten an einem bestimmten Tag.

Aufgabe 6: Cache-Analyse

  • Analysiere den Firefox-Cache.
  • Finde heraus, ob dort Bilddateien von sozialen Netzwerken gespeichert wurden.

Lösungshinweise

Lösung 1: Chrome-Verlauf

sqlite3 History "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 10;"

Lösung 2: Firefox-Cookies

sqlite3 cookies.sqlite "SELECT host, name, value, datetime(lastAccessed/1000000,'unixepoch') FROM moz_cookies WHERE host LIKE '%mail.google.com%';"

Lösung 3: Chrome-Downloads

sqlite3 History "SELECT target_path, datetime(start_time/1000000-11644473600,'unixepoch') FROM downloads;"

Lösung 4: Firefox-Formulardaten

sqlite3 formhistory.sqlite "SELECT fieldname, value FROM moz_formhistory WHERE fieldname LIKE '%email%';"

Lösung 5: Timeline-Erstellung

  • Chrome:
sqlite3 History "SELECT urls.url, datetime(visits.visit_time/1000000-11644473600,'unixepoch') FROM urls, visits WHERE urls.id=visits.url ORDER BY visits.visit_time;"
  • Firefox:
sqlite3 places.sqlite "SELECT moz_places.url, datetime(moz_historyvisits.visit_date/1000000,'unixepoch') FROM moz_places, moz_historyvisits WHERE moz_places.id=moz_historyvisits.place_id ORDER BY moz_historyvisits.visit_date;"

Lösung 6: Firefox-Cache

  • Suche im Cache-Verzeichnis "cache2\entries"
  • Dateitypen prüfen:
file *
  • Mit "strings <datei>" oder Öffnen im Bildbetrachter Inhalte rekonstruieren
Abgerufen von „http://wiki.ixheim.de/index.php?title=Browser-Forensik:_Übungsaufgaben_und_Lösungen&oldid=64542