🧂 前言

今天會分享在 Disk Forensic 下，如何分析瀏覽器中的各種記錄，包括下載記錄、瀏覽歷史、Cookie、密碼、書籤等，以及如何讀取和分析這些資料。

瀏覽器 Web Browser

Web Browser 是應用程式，用於存取和顯示網頁內容。瀏覽器不僅能顯示網頁，還能儲存使用者偏好設定、記錄瀏覽歷史、管理書籤和密碼、快取網頁內容、儲存 Cookie 和會話資料、記錄下載檔案資訊。

source: https://3c.ltn.com.tw/news/39285

以下是目前的瀏覽器系列

• Chromium 系列
  • Google Chrome
  • Microsoft Edge
  • Opera
  • Brave
• Firefox 系列
  • Mozilla Firefox
  • Waterfox
• 其他瀏覽器
  • Safari
  • Internet Explorer

通常資料會存在 C:\Users\<username>\AppData

AppData 目錄結構

Windows 系統中，應用程式的使用者資料通常儲存在 AppData 目錄下：

C:\Users\<username>\AppData\
├── Local\
├── Roaming\        
└── LocalLow\       

• Local : 儲存大容量，臨時或易刪除的資料
• Roaming : 跨裝置同步資料，會跟著使用者帳戶移動到其他電腦
• LocalLow：與 Local 類似，但是應用程式被授予的權限較低

以下介紹一些常用的瀏覽器的資料儲存位置以及可以分析的檔案

🌐 瀏覽器資料鑑識

Google Chrome

位置： C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default

C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\
├── History               # 瀏覽歷史和下載記錄
├── Network\Cookies       # Cookie 資料
├── Login Data            # 儲存的密碼
├── Web Data              # 自動填入資料
├── Bookmarks             # 書籤
├── Preferences           # 使用者偏好設定
├── Cache\                # 快取資料
├── Local Storage\        # 本地儲存
├── Session Storage\      # 會話儲存
└── IndexedDB\            # 索引資料庫

Microsoft Edge

位置： C:\Users\<user>\AppData\Local\Microsoft\Edge\User Data\Default

C:\Users\<user>\AppData\Local\Microsoft\Edge\User Data\Default\
├── History               # 瀏覽歷史和下載記錄
├── Cookies               # Cookie 資料
├── Login Data            # 儲存的密碼
├── Web Data              # 自動填入資料
├── Preferences           # 使用者偏好設定
├── Cache\                # 快取資料
├── Local Storage\        # 本地儲存
├── Session Storage\      # 會話儲存
└── IndexedDB\            # 索引資料庫

Mozilla Firefox

位置： C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile>

<profile> 常常會以xxxx.default-release 表示

C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile>\
├── places.sqlite        # 瀏覽歷史、書籤、下載記錄
├── cookies.sqlite       # Cookie 資料
├── logins.json          # 儲存的密碼
├── formhistory.sqlite   # 表單歷史
├── permissions.sqlite   # 網站權限
├── prefs.js            # 使用者偏好設定
├── user.js             # 使用者自訂設定
└── storage\            # 本地儲存

有些檔案會是 SQLite 儲存的，這邊推薦一個 GUI 應用程式可以查看 SQLite 資料庫內的內容：DB Browser for SQLite

DB Browser for SQLite

下載連結：https://sqlitebrowser.org/

DB Browser for SQLite 是一款開源的、跨平台的視覺化 SQLite 資料庫管理工具。它讓使用者不用深入指令列就能開啟、瀏覽、查詢、修改 SQLite 資料庫檔案。它支援標準的 SQLite 檔案（.sqlite, .db, .sqlite3 等），也支援匯入／匯出 CSV、SQL dump 等格式

假設我要查看使用者在 Google Chrome 的瀏覽與下載紀錄

首先先把 C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\History dump 下來

然後開啟 DB Browser for SQLite，將剛剛 dump 下來的 history 資料丟進 DB Browser for SQLite 內

下面可以看到資料庫內的 Table，如果想要看裡面的資料就點選瀏覽資料的頁面

如果是要看瀏覽記錄就選擇 urls，如果要看下載紀錄的話就看 downloads Table

總結

今天分享了在 Disk Forensic 時如何獲取瀏覽器相關的資訊，但其實還有很多瀏覽器留下的檔案可以去分析，常常會遇到題目詢問相關內容時不知道要怎麼去尋找，會需要上網查很多資料，還會遇到各式各樣的問題，但是可以獲得到的資訊是挺龐大的。