Kommentare 1

Auszug aus Computer-Forensik Hacks – Teil 3

100 Tricks und Tools moderner Computerforensik – und alles Open Source! Unser Computerforensik-Buch zeigt in detailliert beschriebenen Hacks die State-of-the-Art-Ansätze der modernen Computerforensik – von der Sicherung und Wiederherstellung von Daten und Spuren bis zur Diagnose typischer Angriffszenarien. Drei Hacks veröffentlichen wir hier im oreillyblog – nach Hack #3 und Hack #47  folgt nun Hack #72. 

Kleine Vorbemerkung: Um diesen Hack zu verstehen, sollten Sie die wichtigsten Grundlagen von SQLite-Abfragen kennen. Im Buch wird dies in vorangestellten Hacks erklärt. 

Analysieren der Chrome-History

„Jetzt wird es metallisch“

Wir fangen bei der Untersuchung des Browsers Chrome mit der Internet-History an, denn sie ist diejenige Spur, die Ihnen bei einer Datenträgerauswertung die besten Rückschlüsse auf das Surfverhalten eines Benutzers geben kann. Die History von Chrome finden Sie unter folgenden Pfaden:

  • Windows XP:

C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Google\Chrome\User Data\Default\

  • Windows Vista / 7:

C:\Users\<Benutzername>\AppData\Local\Google\Chrome\User Data\Default\

  • Linux (Ubuntu):

/home/<Benutzername>/.config/google-chrome/Default/

  • Mac OS X:

/Users/<Benutzername>/Library/Ap plication Support/Google/Chrome/
Default/

 An diesen Orten liegen neben der History auch die meisten anderen Benutzerspuren von  Chrome in SQLite-Datenbanken.

Ordner- und Dateistruktur mit benutzerspezifischen Chrome-Artefakten

Wie Sie sicherlich schon vermutet haben, befinden sich die Surfspuren in der Datei History. Laden Sie diese Datei doch einmal in Ihren SQLite Manager (siehe Hack #67). Sie werden feststellen, dass einige interessante Informationen
in dieser Datenbank stecken, zum Beis piel über heruntergeladene Dateien, eingegebene Suchwörter, aber eben auch besuchte URLs sowie Häufigkeit und Zeitstempel der Besuche. In der folgenden Darstellung sehen Sie den Aufbau der für die History relevanten Tabellen.

Aufbau der Datenbanktabellen urls und visits innerhalb der History-Datei

Wir können erste einfache Informationen aus der Datenbank herausbekommen. Probieren Sie doch einmal folgende SQL-Abfrage:

SELECT url, title, visit_count FROM urls ORDER BY visit_count DESC

Wenn Sie gern die Daten aus den beiden Tabellen urls und visits kombinieren möchten, um zu sehen, wann URLs von welcher Referrer-Seite aufgerufen wurden, dann versuchen Sie es doch einmal mit folgender Abfrage:

SELECT urls.id, urls.url, urls.title, urls.visit_count, urls.typed_count, urls.last_visit_time, urls.hidden, visits.visit_time, visits.from_visit, visits.transition FROM urls, visits WHERE urls.id = visits.url

Die Zugriffszeiten, die im Webkit-Format gespeichert werden, können Sie mit Tools wie DCode von der Digital Detectives Group umrechnen. Einfacher und effizienter können Sie es sich mit der Funktion datetime machen, die Sie bereits in Hack #67 kennengelernt haben. Das Problem hierbei ist, dass das Webkit-Format nicht auf der Unix-Epoch-Zeit basiert, sondern auf den Mikrosekunden seit dem 1.1.1601, 00:00:00 Uhr. Das bedeutet, dass von den umgerechneten Chrome-Zeitstempeln noch die Differenz zum Start der Epoch-Zeit abgezogen werden muss. Folgende Abfrage erledigt das für Sie:

SELECT urls.id, urls.url, urls.title, urls.visit_count, urls.typed_count, datetime(urls.last_visit_time/1000000-11644473600,’unixepoch‘,’localtime‘) , urls.hidden, datetime(visits.visit_time/1000000-11644473600,’unixepoch‘, ‚localtime‘), visits.from_visit, visits.transition FROM urls, visits WHERE urls.id = visits.url

Sollten Sie in der History-Datei nicht die Informationen fin-den, die Sie suchen, dann werfen Sie unbedingt auch einen Blick in die Datei Archived History. Hier finden Sie ältere, archivierte Verlaufseinträge.

Automatisierte Auswertung der History mit Tools von Drittanbietern

Wie bei der Auswertung der Internet-Histories von Firefox und Internet Explorer können Ihnen auch bei der Spurensuche in Chrome automatisierte Softwaretools unter die Arme greifen. Empfehlenswerte freie Programme sind Historian von Werner Rumpeltesz, ChromeForensics von Mark Woan, ChromeAnalysis von Foxton Software Ltd. und die Toolsammlung von Nirsoft.

Achten Sie bei der Auswertung der History auch immer auf URL-Parameter wie q= , query= , p= oder search?q=. Sie erhalten dadurch oft wertvolle Informationen darüber, wonach gezielt im Web gesucht wurde. Spätestens bei URLs wie http://www.google.de/search?q=unternehmensdaten+stehlen oder http://www.bing.com/search?q= erpresserbrief+schreiben soll-ten Sie hellhörig werden.

 

Sag's weiter:

1 Kommentare

  1. Das Buch und die Probetexte finde ich ganz nett, daher habe ich mir das Buch gekauft um tiefere Einblicke als Laie zu bekommen, alleine aus dem Interesse heraus und meiner gelegentlichen Arbeit mit Rechnern und der Entfernung von Viren, Trojanern und Malware, Säuberungen. Sicherheit erzeugen finde ich sehr gut, und leider wissen so wenige Menschen wie man halbwegs sicher online ist und was man tun kann um Schädlinge zu beseitigten. Aber nun kann ich da vielelicht mehr helfen. Dazu kaufte ich noch eine Einführung in die Forensic um vielleicht gewisse Basics zu bekommen. Ich hätte fast Lust das zu studieren aber die Voraussetzungen sind hoch gesteckt. Ich glaube dass 30% der Studieninhalte von Tools übernommen werden können, je nach dem was mit dem Wissen vor hat. Alle wollen Diplom, aber wenn man begabt wäre ist das alles wieder nichtig. Ich bin sehr gespannt auf das Buch und hoffe das Wissen auch einsetzen zu können, zu meiner und anderer Sicherheit.

    Ich werden sehen ob das nicht nur ein Höhenflug war :D

    Anm.:
    Wenn ich nach „search?q=bombe+bauen“ suche und man das findet, kann man auch eine falsche Fährte legen, es sei denn es liegt mit dem Fall zusammen. Findet man auch dann die Seiten die angeklickt wurden, so das man einen Bewegungsmuster erhält, inkl Download-History?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.