Browser-Forensik: Allgemeiner Überblick
Zur Navigation springen
Zur Suche springen
Einführung
- Browser sind zentrale Werkzeuge im Alltag
- Sie speichern umfangreiche Spuren über Nutzeraktivitäten
- Diese Spuren sind wertvoll für IT-Forensik und Incident Response
Relevante Browser
- Google Chrome / Chromium (inkl. Microsoft Edge)
- Mozilla Firefox
- Safari (macOS/iOS)
- Opera, Brave (Chromium-basiert)
Welche Spuren werden gespeichert?
- Cookies (Sessions, Tracking, Authentifizierung)
- Local Storage & Session Storage
- Cache: HTML, Bilder, Skripte
- Downloads (Dateien und Speicherpfade)
- Form History / Autofill (E-Mail-Adressen, Telefonnummern, Suchbegriffe)
- Gespeicherte Passwörter (verschlüsselt, aber forensisch auswertbar)
- Chronik / History (besuchte Webseiten mit Zeitstempel)
Cookies
- Enthalten Sitzungsinformationen und Tokens
- Dienen Authentifizierung und Tracking
- Gefahr: Session Hijacking
Local Storage / Session Storage
- Speicherung durch moderne Web-Apps
- Tokens, Einstellungen, Chatverläufe
- Persistenter als Cookies
Cache
- Lokale Kopien von Inhalten
- Beweis, dass Seite geöffnet wurde
- Forensisch wichtig: Zeitstempel und Inhalt
Download History
- Liste heruntergeladener Dateien
- Enthält Pfade und Zeitstempel
- Hinweis auf mögliche Datenexfiltration oder Malware
Form History / Autofill
- Gespeicherte Eingaben in Formularen
- Typisch: E-Mail-Adressen, Telefonnummern, Suchbegriffe
- Oft unterschätzte Spur
Gespeicherte Passwörter
- Chrome/Edge: AES-verschlüsselt, Windows DPAPI oder Linux Keyring
- Firefox: logins.json + key4.db
- Mit forensischen Tools auslesbar
Chronik / History
- Enthält alle besuchten URLs mit Zeitstempel
- Gespeichert in SQLite-Datenbanken
- Sehr wertvoll für forensische Analysen
Forensische Tools
- DB Browser for SQLite / sqlite3 → manuelles Auslesen
- NirSoft Tools (z. B. ChromeHistoryView, WebBrowserPassView, Windows-only)
- Autopsy / Sleuth Kit Module → automatisierte Auswertung von Browser-Artefakten
- Hindsight → spezialisiert auf Chrome/Firefox History