https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Browser-Forensik%3A_Analyse-Schritte
Browser-Forensik: Analyse-Schritte - Versionsgeschichte
2026-06-29T09:40:59Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Browser-Forensik:_Analyse-Schritte&diff=64540&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „== Allgemeines Vorgehen == * Browserdaten liegen in SQLite-Datenbanken oder JSON/Plist-Dateien * Vorgehen in der Forensik: ** Sicherung des Benutzerprofils (sc…“
2025-09-04T21:23:29Z
<p>Die Seite wurde neu angelegt: „== Allgemeines Vorgehen == * Browserdaten liegen in SQLite-Datenbanken oder JSON/Plist-Dateien * Vorgehen in der Forensik: ** Sicherung des Benutzerprofils (sc…“</p>
<p><b>Neue Seite</b></p><div>== Allgemeines Vorgehen ==<br />
* Browserdaten liegen in SQLite-Datenbanken oder JSON/Plist-Dateien<br />
* Vorgehen in der Forensik:<br />
** Sicherung des Benutzerprofils (schreibgeschützt, ggf. Mounten aus Forensik-Image)<br />
** Relevante Dateien identifizieren (History, Cookies, Cache, Downloads, Logins)<br />
** Analyse mit geeigneten Tools (sqlite3, DB Browser for SQLite, Autopsy, Plaso, NirSoft)<br />
** Ergebnisse in Timeline und Berichte überführen<br />
<br />
== Analyse von Google Chrome / Chromium / Edge ==<br />
* Verlauf analysieren:<br />
sqlite3 History "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 20;"= Browser-Forensik: Teil 3 – Analyse-Schritte =<br />
<br />
== Allgemeines Vorgehen ==<br />
* Browserdaten liegen in SQLite-Datenbanken oder JSON/Plist-Dateien<br />
* Vorgehen in der Forensik:<br />
** Sicherung des Benutzerprofils (schreibgeschützt, ggf. Mounten aus Forensik-Image)<br />
** Relevante Dateien identifizieren (History, Cookies, Cache, Downloads, Logins)<br />
** Analyse mit geeigneten Tools (sqlite3, DB Browser for SQLite, Autopsy, Plaso, NirSoft)<br />
** Ergebnisse in Timeline und Berichte überführen<br />
<br />
== Analyse von Google Chrome / Chromium / Edge ==<br />
* Verlauf analysieren:<br />
sqlite3 History "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 20;"<br />
* Downloads untersuchen:<br />
sqlite3 History "SELECT target_path, datetime(start_time/1000000-11644473600,'unixepoch') FROM downloads;"<br />
* Cookies prüfen:<br />
sqlite3 Cookies "SELECT host_key, name, value, datetime(last_access_utc/1000000-11644473600,'unixepoch') FROM cookies WHERE host_key LIKE '%mail%';"<br />
* Gespeicherte Passwörter:<br />
** Daten in "Login Data" (SQLite), Werte sind verschlüsselt (AES + DPAPI/Keyring)<br />
** Forensische Tools wie "ChromePass" oder "Autopsy Browser Module" können entschlüsseln<br />
<br />
== Analyse von Mozilla Firefox ==<br />
* Verlauf analysieren:<br />
sqlite3 places.sqlite "SELECT url, datetime(last_visit_date/1000000,'unixepoch') FROM moz_places ORDER BY last_visit_date DESC LIMIT 20;"<br />
* Lesezeichen prüfen:<br />
sqlite3 places.sqlite "SELECT url, title FROM moz_places WHERE url LIKE '%bank%';"<br />
* Cookies untersuchen:<br />
sqlite3 cookies.sqlite "SELECT host, name, value, datetime(lastAccessed/1000000,'unixepoch') FROM moz_cookies;"<br />
* Formulareingaben:<br />
sqlite3 formhistory.sqlite "SELECT fieldname, value, datetime(usageCount,'unixepoch') FROM moz_formhistory;"<br />
* Gespeicherte Passwörter:<br />
** logins.json enthält Struktur, key4.db enthält den Master-Key<br />
** Tools: "Firefox Decrypt" oder Autopsy-Plugins<br />
<br />
== Analyse von Safari ==<br />
* Verlauf:<br />
sqlite3 History.db "SELECT url, datetime(visit_time+978307200,'unixepoch') FROM history_items, history_visits WHERE history_items.id=history_visits.history_item;"<br />
* Cookies:<br />
** Cookies.binarycookies mit Tools wie "binarycookies.pl" auslesen<br />
* Downloads:<br />
** Downloads.plist mit "plutil" oder "plistutil" konvertieren und untersuchen<br />
<br />
== Cache-Analyse ==<br />
* Chrome/Edge/Opera/Brave:<br />
** Cache-Verzeichnis untersuchen, Dateien mit "file" oder "strings"<br />
** NirSoft: ChromeCacheView<br />
* Firefox:<br />
** cache2\entries durchsuchen<br />
** Dateisignaturen prüfen (z. B. JPG, PNG, PDF)<br />
* Safari:<br />
** ~/Library/Caches/… durchsuchen<br />
* Hinweis: Cache-Dateien können Reste bereits gelöschter Inhalte enthalten<br />
<br />
== Tools für die Automatisierung ==<br />
* Plaso / log2timeline → erstellt komplette Browser-Timeline aus History, Cookies, Downloads<br />
* Autopsy mit Browser-Artifact-Modulen → automatisierte Analyse<br />
* NirSoft-Tools → schnelle Extraktion unter Windows<br />
* Hindsight (Python-Tool) → Chrome/Firefox History-Parsing<br />
<br />
* Downloads untersuchen:<br />
sqlite3 History "SELECT target_path, datetime(start_time/1000000-11644473600,'unixepoch') FROM downloads;"<br />
* Cookies prüfen:<br />
sqlite3 Cookies "SELECT host_key, name, value, datetime(last_access_utc/1000000-11644473600,'unixepoch') FROM cookies WHERE host_key LIKE '%mail%';"<br />
* Gespeicherte Passwörter:<br />
** Daten in "Login Data" (SQLite), Werte sind verschlüsselt (AES + DPAPI/Keyring)<br />
** Forensische Tools wie "ChromePass" oder "Autopsy Browser Module" können entschlüsseln<br />
<br />
== Analyse von Mozilla Firefox ==<br />
* Verlauf analysieren:<br />
sqlite3 places.sqlite "SELECT url, datetime(last_visit_date/1000000,'unixepoch') FROM moz_places ORDER BY last_visit_date DESC LIMIT 20;"<br />
* Lesezeichen prüfen:<br />
sqlite3 places.sqlite "SELECT url, title FROM moz_places WHERE url LIKE '%bank%';"<br />
* Cookies untersuchen:<br />
sqlite3 cookies.sqlite "SELECT host, name, value, datetime(lastAccessed/1000000,'unixepoch') FROM moz_cookies;"<br />
* Formulareingaben:<br />
sqlite3 formhistory.sqlite "SELECT fieldname, value, datetime(usageCount,'unixepoch') FROM moz_formhistory;"<br />
* Gespeicherte Passwörter:<br />
** logins.json enthält Struktur, key4.db enthält den Master-Key<br />
** Tools: "Firefox Decrypt" oder Autopsy-Plugins<br />
<br />
== Analyse von Safari ==<br />
* Verlauf:<br />
sqlite3 History.db "SELECT url, datetime(visit_time+978307200,'unixepoch') FROM history_items, history_visits WHERE history_items.id=history_visits.history_item;"<br />
* Cookies:<br />
** Cookies.binarycookies mit Tools wie "binarycookies.pl" auslesen<br />
* Downloads:<br />
** Downloads.plist mit "plutil" oder "plistutil" konvertieren und untersuchen<br />
<br />
== Cache-Analyse ==<br />
* Chrome/Edge/Opera/Brave:<br />
** Cache-Verzeichnis untersuchen, Dateien mit "file" oder "strings"<br />
** NirSoft: ChromeCacheView<br />
* Firefox:<br />
** cache2\entries durchsuchen<br />
** Dateisignaturen prüfen (z. B. JPG, PNG, PDF)<br />
* Safari:<br />
** ~/Library/Caches/… durchsuchen<br />
* Hinweis: Cache-Dateien können Reste bereits gelöschter Inhalte enthalten<br />
<br />
== Tools für die Automatisierung ==<br />
* Plaso / log2timeline → erstellt komplette Browser-Timeline aus History, Cookies, Downloads<br />
* Autopsy mit Browser-Artifact-Modulen → automatisierte Analyse<br />
* NirSoft-Tools → schnelle Extraktion unter Windows<br />
* Hindsight (Python-Tool) → Chrome/Firefox History-Parsing</div>
Thomas.will