今天會分享在 Disk Forensic 下,如何分析瀏覽器中的各種記錄,包括下載記錄、瀏覽歷史、Cookie、密碼、書籤等,以及如何讀取和分析這些資料。
Web Browser 是應用程式,用於存取和顯示網頁內容。瀏覽器不僅能顯示網頁,還能儲存使用者偏好設定、記錄瀏覽歷史、管理書籤和密碼、快取網頁內容、儲存 Cookie 和會話資料、記錄下載檔案資訊。
source: https://3c.ltn.com.tw/news/39285
以下是目前的瀏覽器系列
通常資料會存在 C:\Users\<username>\AppData
Windows 系統中,應用程式的使用者資料通常儲存在 AppData
目錄下:
C:\Users\<username>\AppData\
├── Local\
├── Roaming\
└── LocalLow\
以下介紹一些常用的瀏覽器的資料儲存位置以及可以分析的檔案
位置: C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default
C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\
├── History # 瀏覽歷史和下載記錄
├── Network\Cookies # Cookie 資料
├── Login Data # 儲存的密碼
├── Web Data # 自動填入資料
├── Bookmarks # 書籤
├── Preferences # 使用者偏好設定
├── Cache\ # 快取資料
├── Local Storage\ # 本地儲存
├── Session Storage\ # 會話儲存
└── IndexedDB\ # 索引資料庫
位置: C:\Users\<user>\AppData\Local\Microsoft\Edge\User Data\Default
C:\Users\<user>\AppData\Local\Microsoft\Edge\User Data\Default\
├── History # 瀏覽歷史和下載記錄
├── Cookies # Cookie 資料
├── Login Data # 儲存的密碼
├── Web Data # 自動填入資料
├── Preferences # 使用者偏好設定
├── Cache\ # 快取資料
├── Local Storage\ # 本地儲存
├── Session Storage\ # 會話儲存
└── IndexedDB\ # 索引資料庫
位置: C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile>
<profile>
常常會以xxxx.default-release 表示
C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile>\
├── places.sqlite # 瀏覽歷史、書籤、下載記錄
├── cookies.sqlite # Cookie 資料
├── logins.json # 儲存的密碼
├── formhistory.sqlite # 表單歷史
├── permissions.sqlite # 網站權限
├── prefs.js # 使用者偏好設定
├── user.js # 使用者自訂設定
└── storage\ # 本地儲存
有些檔案會是 SQLite 儲存的,這邊推薦一個 GUI 應用程式可以查看 SQLite 資料庫內的內容:DB Browser for SQLite
下載連結:https://sqlitebrowser.org/
DB Browser for SQLite 是一款開源的、跨平台的視覺化 SQLite 資料庫管理工具。它讓使用者不用深入指令列就能開啟、瀏覽、查詢、修改 SQLite 資料庫檔案。它支援標準的 SQLite 檔案(.sqlite, .db, .sqlite3 等),也支援匯入/匯出 CSV、SQL dump 等格式
假設我要查看使用者在 Google Chrome 的瀏覽與下載紀錄
首先先把 C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\History
dump 下來
然後開啟 DB Browser for SQLite,將剛剛 dump 下來的 history 資料丟進 DB Browser for SQLite 內
下面可以看到資料庫內的 Table,如果想要看裡面的資料就點選瀏覽資料的頁面
如果是要看瀏覽記錄就選擇 urls
,如果要看下載紀錄的話就看 downloads
Table
今天分享了在 Disk Forensic 時如何獲取瀏覽器相關的資訊,但其實還有很多瀏覽器留下的檔案可以去分析,常常會遇到題目詢問相關內容時不知道要怎麼去尋找,會需要上網查很多資料,還會遇到各式各樣的問題,但是可以獲得到的資訊是挺龐大的。