iT邦幫忙

2025 iThome 鐵人賽

DAY 22
0
Security

Blue 了 Blue 了!只會看封包與log的我錯了嗎!系列 第 22

Day22 現在請讓我看看你的瀏覽器紀錄

  • 分享至 

  • xImage
  •  

🧂 前言

今天會分享在 Disk Forensic 下,如何分析瀏覽器中的各種記錄,包括下載記錄、瀏覽歷史、Cookie、密碼、書籤等,以及如何讀取和分析這些資料。


瀏覽器 Web Browser

Web Browser 是應用程式,用於存取和顯示網頁內容。瀏覽器不僅能顯示網頁,還能儲存使用者偏好設定、記錄瀏覽歷史、管理書籤和密碼、快取網頁內容、儲存 Cookie 和會話資料、記錄下載檔案資訊。

source: https://3c.ltn.com.tw/news/39285

以下是目前的瀏覽器系列

  • Chromium 系列
    • Google Chrome
    • Microsoft Edge
    • Opera
    • Brave
  • Firefox 系列
    • Mozilla Firefox
    • Waterfox
  • 其他瀏覽器
    • Safari
    • Internet Explorer

通常資料會存在 C:\Users\<username>\AppData


AppData 目錄結構

Windows 系統中,應用程式的使用者資料通常儲存在 AppData 目錄下:

C:\Users\<username>\AppData\
├── Local\
├── Roaming\        
└── LocalLow\       
  • Local : 儲存大容量,臨時或易刪除的資料
  • Roaming : 跨裝置同步資料,會跟著使用者帳戶移動到其他電腦
  • LocalLow:與 Local 類似,但是應用程式被授予的權限較低

以下介紹一些常用的瀏覽器的資料儲存位置以及可以分析的檔案


🌐 瀏覽器資料鑑識

Google Chrome

位置: C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default

C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\
├── History               # 瀏覽歷史和下載記錄
├── Network\Cookies       # Cookie 資料
├── Login Data            # 儲存的密碼
├── Web Data              # 自動填入資料
├── Bookmarks             # 書籤
├── Preferences           # 使用者偏好設定
├── Cache\                # 快取資料
├── Local Storage\        # 本地儲存
├── Session Storage\      # 會話儲存
└── IndexedDB\            # 索引資料庫

Microsoft Edge

位置: C:\Users\<user>\AppData\Local\Microsoft\Edge\User Data\Default

C:\Users\<user>\AppData\Local\Microsoft\Edge\User Data\Default\
├── History               # 瀏覽歷史和下載記錄
├── Cookies               # Cookie 資料
├── Login Data            # 儲存的密碼
├── Web Data              # 自動填入資料
├── Preferences           # 使用者偏好設定
├── Cache\                # 快取資料
├── Local Storage\        # 本地儲存
├── Session Storage\      # 會話儲存
└── IndexedDB\            # 索引資料庫

Mozilla Firefox

位置: C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile>

<profile> 常常會以xxxx.default-release 表示

C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile>\
├── places.sqlite        # 瀏覽歷史、書籤、下載記錄
├── cookies.sqlite       # Cookie 資料
├── logins.json          # 儲存的密碼
├── formhistory.sqlite   # 表單歷史
├── permissions.sqlite   # 網站權限
├── prefs.js            # 使用者偏好設定
├── user.js             # 使用者自訂設定
└── storage\            # 本地儲存

有些檔案會是 SQLite 儲存的,這邊推薦一個 GUI 應用程式可以查看 SQLite 資料庫內的內容:DB Browser for SQLite


DB Browser for SQLite

下載連結:https://sqlitebrowser.org/

DB Browser for SQLite 是一款開源的、跨平台的視覺化 SQLite 資料庫管理工具。它讓使用者不用深入指令列就能開啟、瀏覽、查詢、修改 SQLite 資料庫檔案。它支援標準的 SQLite 檔案(.sqlite, .db, .sqlite3 等),也支援匯入/匯出 CSV、SQL dump 等格式

假設我要查看使用者在 Google Chrome 的瀏覽與下載紀錄

首先先把 C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\History dump 下來

然後開啟 DB Browser for SQLite,將剛剛 dump 下來的 history 資料丟進 DB Browser for SQLite 內

下面可以看到資料庫內的 Table,如果想要看裡面的資料就點選瀏覽資料的頁面

如果是要看瀏覽記錄就選擇 urls,如果要看下載紀錄的話就看 downloads Table


總結

今天分享了在 Disk Forensic 時如何獲取瀏覽器相關的資訊,但其實還有很多瀏覽器留下的檔案可以去分析,常常會遇到題目詢問相關內容時不知道要怎麼去尋找,會需要上網查很多資料,還會遇到各式各樣的問題,但是可以獲得到的資訊是挺龐大的。


上一篇
Day21 我偷看了你的 Prefetch,它告訴我你開過什麼
系列文
Blue 了 Blue 了!只會看封包與log的我錯了嗎!22
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言