В Форензике история посещений страниц в интернете это неотъемлемая часть экспертиз, в этот раз мы рассмотрим только явные следы (удаленные и.т.п это отдельные темы для рассмотрений).
Немного теории (места хранения не удаленных данных):
Бесплатные программы/утилиты:
-------------[Name]-----------------[Interface]----[Platform]-----[Manufacturer]-----[Licence]
IECacheView----------------------------GUI-----------Windows---------NirSoft----------Freeware
IECookiesView--------------------------GUI-----------Windows---------NirSoft----------Freeware
IEHistoryView--------------------------GUI-----------Windows---------NirSoft----------Freeware
ChromeCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
ChromeHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaCookieView-----------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
SafariCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
SafariHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
OperaCacheView-------------------------GUI-----------Windows---------NirSoft----------Freeware
WebBrowserPassView---------------------GUI-----------Windows---------NirSoft----------Freeware
MyLastSearch---------------------------GUI-----------Windows---------NirSoft----------Freeware
Hindsight------------------------------GUI-----------Windows---------Ryan Benson------Freeware
Web Historian отлично работает только на старых системах - Windows 2003, XP, 2000, 98, Me, NT, но не заменима когда ей указываешь профиль пользователя "Find browser history files"
ChromeForensics программа хорошая если не сбоит, а такое с ней бывает.
Следующая программа FireFoxForensics такая же как ChromeForensics, той же компании (woanware) поэтому её screen я не публикую.
Следующая программа Firefoxsessionstoreextractor консольная работает только на системах - Windows XP, Windows 2003 Server, Vista, WIndows 7. С ней сталкивался давно, если кому не сложно её запустить на Win7 и выложить скрин.
BrowsingHistoryView замечательная программа и это не удивительно NirSoft всегда радует (далее в таблице все ссылки на NirSoft я указывать не буду).
Следующие 13 программ, той же компании (NirSoft) поэтому их screens я не публикую.
Hindsight Наш форумчанин о ней уже писал Hindsight - Форензика Google/Chronium.
результат Hindsight - Results
Иногда программа зависает требуется перезапуск, так же сам chrome должен быть не запущен, хотя путь вы можете указать к изъятой папке от криминалистического образа.
Следующая программа WEFA lite первое её открытие будет корейский язык (вверху третья вкладка смена языка) очень мощный инструмент и есть Timeline
Продолжение (разъяснения откуда берут программы все те данные которые показаны в этой статье),
где руками можно лично воочию увидеть артефакты браузеров Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade
И ещё один обзор программы данного направления Browser Forensic Tool
Немного теории (места хранения не удаленных данных):
Код:
Microsoft Windows 7:
AppData\Local\Microsoft
C:\Users\{user}\AppData\Local\Microsoft\Internet Explorer\IECompatData\
C:\Users\{user}\AppData\Local\Microsoft\Feeds Cache\
C:\Users\{user}\AppData\Local\Microsoft\Windows\WebCache\
-> AppData\Local\Microsoft\Windows\History
C:\Users\{user}\AppData\Local\Microsoft\Windows\History\
-> AppData\local\Microsoft\Windows\Temporary Internet Files
C:\Users\{user}\AppData\Local\Microsoft\Windows\Temporary Internet Files\
-> AppData\Local
C:\Users\{user}\AppData\Local\Temp\
-> AppData\LocalLow
C:\Users\{user}\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\
-> AppData\Roaming
C:\Users\{user}\AppData\Roaming\Microsoft\Internet Explorer\UserData\
C:\Users\{user}\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Cookies\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Cookies\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\DNTException\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\DNTException\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatCache\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatCache\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatUACache\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatUACache\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IETldCache\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IETldCache\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\PrivacIE\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\PrivacIE\Low\
Microsoft Windows 8:
-> AppData\Local\Microsoft
C:\Users\{user}\AppData\Local\Microsoft\Internet Explorer\IECompatData\
C:\Users\{user}\AppData\Local\Microsoft\Windows\History\
C:\Users\{user}\AppData\Local\Microsoft\Windows\WebCache\
-> AppData\LocalLow
C:\Users\{user}\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore
Код:
Windows XP: C:\Users\{user}\Local Settings\Application Data\Google\Chrome\User Data\Default
Windows Vista/7/8/10: C:\Users\{user}\AppData\Local\Google\Chrome\User Data\Default
Linux: {userdir}/.config/google-chrome/Default
OS X: {userdir}/Library/Application Support/Google/Chrome/Default
iOS: \Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default
Android: /userdata/data/com.android.chrome/app_chrome/Default
Код:
Windows 10: C:\Users\{user}\AppData\Roaming\Mozilla\Firefox\Profiles\{random}.default\
Код:
Windows 10: C:\Users\{user}\AppData\Roaming\Opera Software\Opera Stable\-------------[Name]-----------------[Interface]----[Platform]-----[Manufacturer]-----[Licence]
Ссылка скрыта от гостей
--------------------------GUI-----------Windows---------Mandiant---------Freeware
Ссылка скрыта от гостей
------------------------GUI-----------Windows---------woanware---------Freeware
Ссылка скрыта от гостей
-----------------------GUI-----------Windows---------woanware---------Freeware
Ссылка скрыта от гостей
-----------cmd-----------Windows---------woanware---------Freeware
Ссылка скрыта от гостей
--------------------GUI-----------Windows---------NirSoft----------FreewareIECacheView----------------------------GUI-----------Windows---------NirSoft----------Freeware
IECookiesView--------------------------GUI-----------Windows---------NirSoft----------Freeware
IEHistoryView--------------------------GUI-----------Windows---------NirSoft----------Freeware
ChromeCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
ChromeHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaCookieView-----------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
SafariCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
SafariHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
OperaCacheView-------------------------GUI-----------Windows---------NirSoft----------Freeware
WebBrowserPassView---------------------GUI-----------Windows---------NirSoft----------Freeware
MyLastSearch---------------------------GUI-----------Windows---------NirSoft----------Freeware
Hindsight------------------------------GUI-----------Windows---------Ryan Benson------Freeware
Ссылка скрыта от гостей
------------------------------GUI-----------Windows----------DFRC------------Freeware
Ссылка скрыта от гостей
---------------------GUI-----------Windows--------IT Samples--------FreewareWeb Historian отлично работает только на старых системах - Windows 2003, XP, 2000, 98, Me, NT, но не заменима когда ей указываешь профиль пользователя "Find browser history files"
ChromeForensics программа хорошая если не сбоит, а такое с ней бывает.
Следующая программа Firefoxsessionstoreextractor консольная работает только на системах - Windows XP, Windows 2003 Server, Vista, WIndows 7. С ней сталкивался давно, если кому не сложно её запустить на Win7 и выложить скрин.
BrowsingHistoryView замечательная программа и это не удивительно NirSoft всегда радует (далее в таблице все ссылки на NirSoft я указывать не буду).
Hindsight Наш форумчанин о ней уже писал Hindsight - Форензика Google/Chronium.
Следующая программа WEFA lite первое её открытие будет корейский язык (вверху третья вкладка смена языка) очень мощный инструмент и есть Timeline
Продолжение (разъяснения откуда берут программы все те данные которые показаны в этой статье),
где руками можно лично воочию увидеть артефакты браузеров Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade
И ещё один обзор программы данного направления Browser Forensic Tool
Последнее редактирование:
