Статья Forensics Windows Free tools in Web Browser Artifacts (history, cookie, cache)

  • Автор темы Sunnych
  • Дата начала
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
В Форензике история посещений страниц в интернете это неотъемлемая часть экспертиз, в этот раз мы рассмотрим только явные следы (удаленные и.т.п это отдельные темы для рассмотрений).
Немного теории (места хранения не удаленных данных):
Код:
Microsoft Windows 7:
AppData\Local\Microsoft
C:\Users\{user}\AppData\Local\Microsoft\Internet Explorer\IECompatData\
C:\Users\{user}\AppData\Local\Microsoft\Feeds Cache\
C:\Users\{user}\AppData\Local\Microsoft\Windows\WebCache\
-> AppData\Local\Microsoft\Windows\History
C:\Users\{user}\AppData\Local\Microsoft\Windows\History\
-> AppData\local\Microsoft\Windows\Temporary Internet Files
C:\Users\{user}\AppData\Local\Microsoft\Windows\Temporary Internet Files\
-> AppData\Local
C:\Users\{user}\AppData\Local\Temp\
-> AppData\LocalLow
C:\Users\{user}\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore\
-> AppData\Roaming
C:\Users\{user}\AppData\Roaming\Microsoft\Internet Explorer\UserData\
C:\Users\{user}\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Cookies\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\Cookies\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\DNTException\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\DNTException\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatCache\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatCache\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatUACache\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IECompatUACache\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IETldCache\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\IETldCache\Low\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\PrivacIE\
C:\Users\{user}\AppData\Roaming\Microsoft\Windows\PrivacIE\Low\
Microsoft Windows 8:
-> AppData\Local\Microsoft
C:\Users\{user}\AppData\Local\Microsoft\Internet Explorer\IECompatData\
C:\Users\{user}\AppData\Local\Microsoft\Windows\History\
C:\Users\{user}\AppData\Local\Microsoft\Windows\WebCache\
-> AppData\LocalLow
C:\Users\{user}\AppData\LocalLow\Microsoft\Internet Explorer\DOMStore
Код:
Windows XP:           C:\Users\{user}\Local Settings\Application Data\Google\Chrome\User Data\Default
Windows Vista/7/8/10: C:\Users\{user}\AppData\Local\Google\Chrome\User Data\Default
Linux:                {userdir}/.config/google-chrome/Default
OS X:                 {userdir}/Library/Application Support/Google/Chrome/Default
iOS:                  \Applications\com.google.chrome.ios\Library\Application Support\Google\Chrome\Default
Android:              /userdata/data/com.android.chrome/app_chrome/Default
Код:
Windows 10: C:\Users\{user}\AppData\Roaming\Mozilla\Firefox\Profiles\{random}.default\
Код:
Windows 10: C:\Users\{user}\AppData\Roaming\Opera Software\Opera Stable\
Бесплатные программы/утилиты:
-------------[Name]-----------------[Interface]----[Platform]-----[Manufacturer]-----[Licence]
--------------------------GUI-----------Windows---------Mandiant---------Freeware
------------------------GUI-----------Windows---------woanware---------Freeware
-----------------------GUI-----------Windows---------woanware---------Freeware
-----------cmd-----------Windows---------woanware---------Freeware
--------------------GUI-----------Windows---------NirSoft----------Freeware
IECacheView----------------------------GUI-----------Windows---------NirSoft----------Freeware
IECookiesView--------------------------GUI-----------Windows---------NirSoft----------Freeware
IEHistoryView--------------------------GUI-----------Windows---------NirSoft----------Freeware
ChromeCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
ChromeHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaCookieView-----------------------GUI-----------Windows---------NirSoft----------Freeware
MozilaHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
SafariCacheView------------------------GUI-----------Windows---------NirSoft----------Freeware
SafariHistoryView----------------------GUI-----------Windows---------NirSoft----------Freeware
OperaCacheView-------------------------GUI-----------Windows---------NirSoft----------Freeware
WebBrowserPassView---------------------GUI-----------Windows---------NirSoft----------Freeware
MyLastSearch---------------------------GUI-----------Windows---------NirSoft----------Freeware
------------------------------GUI-----------Windows---------Ryan Benson------Freeware

------------------------------GUI-----------Windows----------DFRC------------Freeware
---------------------GUI-----------Windows--------IT Samples--------Freeware

Web Historian отлично работает только на старых системах - Windows 2003, XP, 2000, 98, Me, NT, но не заменима когда ей указываешь профиль пользователя "Find browser history files"
Статья-1.jpg

ChromeForensics программа хорошая если не сбоит, а такое с ней бывает.
Статья-2.jpg
Следующая программа FireFoxForensics такая же как ChromeForensics, той же компании (woanware) поэтому её screen я не публикую.
Следующая программа Firefoxsessionstoreextractor консольная работает только на системах - Windows XP, Windows 2003 Server, Vista, WIndows 7. С ней сталкивался давно, если кому не сложно её запустить на Win7 и выложить скрин.

BrowsingHistoryView замечательная программа и это не удивительно NirSoft всегда радует (далее в таблице все ссылки на NirSoft я указывать не буду).
Статья-3.jpg
Следующие 13 программ, той же компании (NirSoft) поэтому их screens я не публикую.

Hindsight Наш форумчанин о ней уже писал Hindsight - Форензика Google/Chronium.
Статья-4.jpg
результат Hindsight - Results
Статья-5.jpg
Иногда программа зависает требуется перезапуск, так же сам chrome должен быть не запущен, хотя путь вы можете указать к изъятой папке от криминалистического образа.

Следующая программа WEFA lite первое её открытие будет корейский язык (вверху третья вкладка смена языка) очень мощный инструмент и есть Timeline
WEFA Lite.jpg


Продолжение (разъяснения откуда берут программы все те данные которые показаны в этой статье),
где руками можно лично воочию увидеть артефакты браузеров Forensics Web Browser Artifacts (history, cookie, cache) Windows - search handmade
И ещё один обзор программы данного направления Browser Forensic Tool
 
Последнее редактирование:
Литиум

Литиум

Well-known member
13.12.2017
334
604
Chromium , а не hromium. Исправляйте. :) Статья хорошая. Интересно.

Спасибо, реально о печатался ;-) Ну я её ещё буду тихо наполнять практическими мелочами (совершенству нет предела).
Кто знает ? Может и есть предел.
 
  • Нравится
Реакции: Sunnych
E

Elektrolife

Well-known member
21.10.2016
216
33
дайте пожалуйста ссылку на WEFA lite,не могу найти (
 
Мы в соцсетях: