Приветствую,
уважаемый читатель!
Сбор
исходной информации во время расследования инцидента это основа основ,
особенно, когда не сильно доверяешь словам пользователей. Анализ сетевой активности
пользователя на АРМ можно контролировать многими способами: контроль доступа в
Интернет через прокси, DLP-решения,
IDS-решения
и т.д. Но, бывают случаи, когда ничего этого нет, и тогда не помещает изучить
истории браузеров на данных АРМ. Об этом и поговорим.
Итак, у нас есть компьютер
с установленным браузером Chrome,
из которого необходимо достать полезную информацию для последующего изучения.
Пусть это будет: история просмотров сайтов; cookie полученные от серверов; данные о
сайтах, на которых был залогинен пользователь.
Cкопируем себе следующие файлы: Cookies, History,
Login Data, Top Sites.
Как понятно из названия,
файл Cookies
хранит
информацию, о том какие куки получал браузер от сайтов (дата создания, какой
сайт, имя, время действия и т.д.). Если открыть файл в SQLite Explorer и выбрать таблицу cookies, то увидим примерно
следующее:
Файл History
хранит
историю посещений сайтов; историю загрузок файлов; историю введенный поисковых слов,
на каком-либо сайте и т.д.
Файлы
Login
Data
и Top
Sites
содержат
перечень учетных данных (без пароля), которые пользователь вводил на сайтах, и,
соответственно, топ посещений. Собственно, написанием несложных SQL-запросов можно вытянуть всю
необходимую информацию.
Изучить
содержимое данных файлов можно, также, при помощи powershell, но для этого
необходимо выполнить ряд подготовительных мероприятий, которые я коротко опишу
(подробнее описаны тут - https://social.technet.microsoft.com/wiki/contents/articles/30562.powershell-accessing-sqlite-databases.aspx).
1. Скачать
библиотеку для работы с SQLite (в штатной сборке в PS её
нет) - https://system.data.sqlite.org/index.html/doc/trunk/www/downloads.wiki
2. Подключить
библиотеки к скрипту:
add-type -Path "C:\Program
Files\System.Data.SQLite\2010\bin\System.Data.SQLite.dll"
3. Создать
SQL-запрос для выборки данных из файла (на примере файла
Cookies):
$connect = New-Object
-TypeName System.Data.SQLite.SQLiteConnection
$connect.ConnectionString
= "Data
Source=C:\scripts\Chrome\Cookies"
$connect.Open()
$sql = $connect.CreateCommand()
$sql.CommandText = "SELECT
creation_utc,host_key,name,value,path FROM cookies"
$adapter = New-Object
-TypeName System.Data.SQLite.SQLiteDataAdapter
$sql
$data = New-Object
System.Data.DataSet
$adapter.Fill($data)
$rows = $data.tables.rows
$rows | select
creation_utc,host_key,name,value,path | sort host_key | ft
$sql.Dispose()
$connect.Close()
Дополнительная
информация:
Пути
к папкам с историей популярных браузеров.
Firefox
C:\Users\<username>\AppData\Roaming\Mozilla\Firefox\Profiles
Opera
C:\Users\<username>\AppData\Roaming\Opera
Software\Opera Stable
YA Browser
C:\Users\<username>\AppData\Local\Yandex\YandexBrowser\User
Data\Default 
Belkasoft evidence center делает это за деньги
ОтветитьУдалить