Browser-Forensik: Analyse-Schritte

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Allgemeines Vorgehen

  • Browserdaten liegen in SQLite-Datenbanken oder JSON/Plist-Dateien
  • Vorgehen in der Forensik:
    • Sicherung des Benutzerprofils (schreibgeschützt, ggf. Mounten aus Forensik-Image)
    • Relevante Dateien identifizieren (History, Cookies, Cache, Downloads, Logins)
    • Analyse mit geeigneten Tools (sqlite3, DB Browser for SQLite, Autopsy, Plaso, NirSoft)
    • Ergebnisse in Timeline und Berichte überführen

Analyse von Google Chrome / Chromium / Edge

  • Verlauf analysieren:
sqlite3 History "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 20;"= Browser-Forensik: Teil 3 – Analyse-Schritte =

Allgemeines Vorgehen

  • Browserdaten liegen in SQLite-Datenbanken oder JSON/Plist-Dateien
  • Vorgehen in der Forensik:
    • Sicherung des Benutzerprofils (schreibgeschützt, ggf. Mounten aus Forensik-Image)
    • Relevante Dateien identifizieren (History, Cookies, Cache, Downloads, Logins)
    • Analyse mit geeigneten Tools (sqlite3, DB Browser for SQLite, Autopsy, Plaso, NirSoft)
    • Ergebnisse in Timeline und Berichte überführen

Analyse von Google Chrome / Chromium / Edge

  • Verlauf analysieren:
sqlite3 History "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 20;"
  • Downloads untersuchen:
sqlite3 History "SELECT target_path, datetime(start_time/1000000-11644473600,'unixepoch') FROM downloads;"
  • Cookies prüfen:
sqlite3 Cookies "SELECT host_key, name, value, datetime(last_access_utc/1000000-11644473600,'unixepoch') FROM cookies WHERE host_key LIKE '%mail%';"
  • Gespeicherte Passwörter:
    • Daten in "Login Data" (SQLite), Werte sind verschlüsselt (AES + DPAPI/Keyring)
    • Forensische Tools wie "ChromePass" oder "Autopsy Browser Module" können entschlüsseln

Analyse von Mozilla Firefox

  • Verlauf analysieren:
sqlite3 places.sqlite "SELECT url, datetime(last_visit_date/1000000,'unixepoch') FROM moz_places ORDER BY last_visit_date DESC LIMIT 20;"
  • Lesezeichen prüfen:
sqlite3 places.sqlite "SELECT url, title FROM moz_places WHERE url LIKE '%bank%';"
  • Cookies untersuchen:
sqlite3 cookies.sqlite "SELECT host, name, value, datetime(lastAccessed/1000000,'unixepoch') FROM moz_cookies;"
  • Formulareingaben:
sqlite3 formhistory.sqlite "SELECT fieldname, value, datetime(usageCount,'unixepoch') FROM moz_formhistory;"
  • Gespeicherte Passwörter:
    • logins.json enthält Struktur, key4.db enthält den Master-Key
    • Tools: "Firefox Decrypt" oder Autopsy-Plugins

Analyse von Safari

  • Verlauf:
sqlite3 History.db "SELECT url, datetime(visit_time+978307200,'unixepoch') FROM history_items, history_visits WHERE history_items.id=history_visits.history_item;"
  • Cookies:
    • Cookies.binarycookies mit Tools wie "binarycookies.pl" auslesen
  • Downloads:
    • Downloads.plist mit "plutil" oder "plistutil" konvertieren und untersuchen

Cache-Analyse

  • Chrome/Edge/Opera/Brave:
    • Cache-Verzeichnis untersuchen, Dateien mit "file" oder "strings"
    • NirSoft: ChromeCacheView
  • Firefox:
    • cache2\entries durchsuchen
    • Dateisignaturen prüfen (z. B. JPG, PNG, PDF)
  • Safari:
    • ~/Library/Caches/… durchsuchen
  • Hinweis: Cache-Dateien können Reste bereits gelöschter Inhalte enthalten

Tools für die Automatisierung

  • Plaso / log2timeline → erstellt komplette Browser-Timeline aus History, Cookies, Downloads
  • Autopsy mit Browser-Artifact-Modulen → automatisierte Analyse
  • NirSoft-Tools → schnelle Extraktion unter Windows
  • Hindsight (Python-Tool) → Chrome/Firefox History-Parsing
  • Downloads untersuchen:
sqlite3 History "SELECT target_path, datetime(start_time/1000000-11644473600,'unixepoch') FROM downloads;"
  • Cookies prüfen:
sqlite3 Cookies "SELECT host_key, name, value, datetime(last_access_utc/1000000-11644473600,'unixepoch') FROM cookies WHERE host_key LIKE '%mail%';"
  • Gespeicherte Passwörter:
    • Daten in "Login Data" (SQLite), Werte sind verschlüsselt (AES + DPAPI/Keyring)
    • Forensische Tools wie "ChromePass" oder "Autopsy Browser Module" können entschlüsseln

Analyse von Mozilla Firefox

  • Verlauf analysieren:
sqlite3 places.sqlite "SELECT url, datetime(last_visit_date/1000000,'unixepoch') FROM moz_places ORDER BY last_visit_date DESC LIMIT 20;"
  • Lesezeichen prüfen:
sqlite3 places.sqlite "SELECT url, title FROM moz_places WHERE url LIKE '%bank%';"
  • Cookies untersuchen:
sqlite3 cookies.sqlite "SELECT host, name, value, datetime(lastAccessed/1000000,'unixepoch') FROM moz_cookies;"
  • Formulareingaben:
sqlite3 formhistory.sqlite "SELECT fieldname, value, datetime(usageCount,'unixepoch') FROM moz_formhistory;"
  • Gespeicherte Passwörter:
    • logins.json enthält Struktur, key4.db enthält den Master-Key
    • Tools: "Firefox Decrypt" oder Autopsy-Plugins

Analyse von Safari

  • Verlauf:
sqlite3 History.db "SELECT url, datetime(visit_time+978307200,'unixepoch') FROM history_items, history_visits WHERE history_items.id=history_visits.history_item;"
  • Cookies:
    • Cookies.binarycookies mit Tools wie "binarycookies.pl" auslesen
  • Downloads:
    • Downloads.plist mit "plutil" oder "plistutil" konvertieren und untersuchen

Cache-Analyse

  • Chrome/Edge/Opera/Brave:
    • Cache-Verzeichnis untersuchen, Dateien mit "file" oder "strings"
    • NirSoft: ChromeCacheView
  • Firefox:
    • cache2\entries durchsuchen
    • Dateisignaturen prüfen (z. B. JPG, PNG, PDF)
  • Safari:
    • ~/Library/Caches/… durchsuchen
  • Hinweis: Cache-Dateien können Reste bereits gelöschter Inhalte enthalten

Tools für die Automatisierung

  • Plaso / log2timeline → erstellt komplette Browser-Timeline aus History, Cookies, Downloads
  • Autopsy mit Browser-Artifact-Modulen → automatisierte Analyse
  • NirSoft-Tools → schnelle Extraktion unter Windows
  • Hindsight (Python-Tool) → Chrome/Firefox History-Parsing
Abgerufen von „http://wiki.ixheim.de/index.php?title=Browser-Forensik:_Analyse-Schritte&oldid=64540