Browser-Forensik: Browser-spezifische Speicherorte
Zur Navigation springen
Zur Suche springen
Google Chrome / Chromium / Microsoft Edge
- Profilpfad:
- Windows: C:\Users\<Benutzer>\AppData\Local\Google\Chrome\User Data\Default\
- Edge (Chromium): C:\Users\<Benutzer>\AppData\Local\Microsoft\Edge\User Data\Default\
- Wichtige Dateien:
- History (SQLite) → besuchte URLs, Zeitstempel, Downloads
- Cookies (SQLite, AES-verschlüsselt) → Sitzungsinformationen
- Login Data (SQLite, AES-verschlüsselt) → gespeicherte Passwörter
- Preferences (JSON) → Einstellungen, Suchmaschinen
- Zeitstempel:
- WebKit-Timestamp = Mikrosekunden seit 01.01.1601 UTC
- Beispiel SQL-Query:
SELECT url, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 10;
Mozilla Firefox
- Profilpfad:
- Windows: C:\Users\<Benutzer>\AppData\Roaming\Mozilla\Firefox\Profiles\<Profil>\
- Linux: ~/.mozilla/firefox/<Profil>/
- Wichtige Dateien:
- places.sqlite → Verlauf (moz_places, moz_historyvisits), Lesezeichen
- cookies.sqlite → gespeicherte Cookies
- formhistory.sqlite → Formulardaten
- logins.json + key4.db → gespeicherte Passwörter (verschlüsselt)
- Zeitstempel:
- Unix-Epoch in Mikrosekunden
- Beispiel SQL-Query:
SELECT url, datetime(last_visit_date/1000000,'unixepoch') FROM moz_places ORDER BY last_visit_date DESC LIMIT 10;
Safari (macOS/iOS)
- Profilpfad:
- macOS: ~/Library/Safari/
- iOS: In App-Sandbox, Backup-Extraktion notwendig
- Wichtige Dateien:
- History.db (SQLite) → Verlauf
- Cookies.binarycookies → Cookies im proprietären Format
- Downloads.plist → Liste heruntergeladener Dateien
- Tools:
- binarycookies.pl für Cookie-Analyse
- DB Browser for SQLite für History.db
Opera / Brave
- Beide sind Chromium-basiert → gleiche Struktur wie Chrome
- Pfade:
- Opera: C:\Users\<Benutzer>\AppData\Roaming\Opera Software\Opera Stable\
- Brave: C:\Users\<Benutzer>\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\
- Dateien:
- History (SQLite)
- Cookies (SQLite, AES-verschlüsselt)
- Login Data (SQLite)
- Zeitstempel: ebenfalls WebKit-Timestamp
Übersichtstabelle
| Browser | Pfad (Windows) | Verlauf | Cookies | Besonderheiten |
|---|---|---|---|---|
| Chrome | AppData\Local\Google\Chrome\User Data\Default | History (SQLite) | Cookies (SQLite) | WebKit-Timestamps |
| Edge (Chromium) | AppData\Local\Microsoft\Edge\User Data\Default | History (SQLite) | Cookies (SQLite) | WebKit-Timestamps |
| Firefox | AppData\Roaming\Mozilla\Firefox\Profiles\<Profil> | places.sqlite | cookies.sqlite | Unix-Timestamps |
| Safari | ~/Library/Safari | History.db | Cookies.binarycookies | Proprietäre Cookies, Plists |
| Opera | AppData\Roaming\Opera Software\Opera Stable | History (SQLite) | Cookies (SQLite) | Chromium-basiert |
| Brave | AppData\Local\BraveSoftware\Brave-Browser\User Data\Default | History (SQLite) | Cookies (SQLite) | Chromium-basiert |