История браузеров

Персональный раздел для Krec.

История браузеров

Сообщение Krec » 07 окт 2017, 19:59

Здравствуйте.

давно уже мне мучает 2 вопроса касаемо истории посещаемых сайтов в веб браузерах.
1. Первый, что как быть с очищенной историей? вот скажем, человек полазил по сайтам, а потом очистил историю. Возможно ли восстановить это ? Удаление не какими то спец.программами делается, а просто средствами браузера. Если можно, то скажите пожалуйста как это делать?
2. Второй момент, который мне кажется недоразумением просто.. каким образом выяснить точное время посещение сайтов по истории браузера?
Вот открываю историю, написано "сегодня > mail, yandex, VK, google.... т.д., т.п.." но когда именно зашел в VK или yandex - никак не узнать.
Есть какие то утилиты, которые показывают временые привязки ?
в качестве примера взял браузер mozilla Firefox 56.0 версии.
ОС Windows 10 pro. сборка 1701
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: История браузеров

Сообщение Olly » 07 окт 2017, 21:04

Все зависит от того, о каком браузере вы говорите. Хотя, по большей части они используют, как и многие мессенджеры, базы данных формата SQLite, разумеется, ввиду особенностей формата, восстановить удаленные записи из них можно, для этого существуют как коммерческие, так и бесплатные (свободные) инструменты. Более подробно о них здесь:

http://www.computer-forensics-lab.org/l ... D0%B8/191/

И здесь, если приятнее читать на английском:

http://cyberforensicator.com/2017/01/31 ... databases/
AccessData Certified Examiner | AccessData Mobile Examiner
Аватара пользователя
Olly
Член клуба
 
Сообщения: 162
Зарегистрирован: 02 фев 2012, 22:19
Благодарил (а): 17 раз.
Поблагодарили: 18 раз.

Re: История браузеров

Сообщение Igor Mikhaylov » 07 окт 2017, 21:22

Krec писал(а):1. Первый, что как быть с очищенной историей? вот скажем, человек полазил по сайтам, а потом очистил историю. Возможно ли восстановить это ? Удаление не какими то спец.программами делается, а просто средствами браузера. Если можно, то скажите пожалуйста как это делать?

Не каждый может правильно очистить историю браузера. Вот тому пример:
https://www.magnetforensics.com/compute ... -evidence/

Достать историю браузера можно карвингом. Не забываем про файлы подкачки и гибернации.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: История браузеров

Сообщение Krec » 08 окт 2017, 20:38

Спасибо, почитал ссылки бегло.
насчет первого вопроса по восстановлению - SQLite он как файл-контейнер или что? я могу скопировать эти файлы с компьютерах клиентов и у себя анализировать/восстанавливать ?
Или по любому надо снять побитоваый образ системы ? Дело имеет внутренний характер, в компании происходит "аномалии", надо выяснить кто виновник торжества. кто то удаляет выборочно ссылки из браузера, кто то очищает их.
CCleaner_ом не пользуемся в конторе, по этому удаляют только средствами винды/браузера.

А по поводу второго вопроса, насчет временных штампов - нельзя ли выяснить во сколько (часы:минуты) клиент зашел по этой ссылке?

Достать историю браузера можно карвингом. Не забываем про файлы подкачки и гибернации.

А что за карвинг? что то не припомню такое... гугл выдает только по кулинарии :)
файлы гибернизации нет, а в файле подкачки возможно ли найти что то , что имеет срок давности 4 дня? от инцидента уже прошел 4 дня, образа дисков я конечно не снимал ))
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: История браузеров

Сообщение Igor Mikhaylov » 09 окт 2017, 01:22

Krec писал(а):А что за карвинг? что то не припомню такое... гугл выдает только по кулинарии :)

Странно, что вам не встречался данный термин. Так как в программах так и пишут 'Carve', 'Carving'. Вот, например, в Belkasoft Evidence Center

Изображение
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: История браузеров

Сообщение Krec » 09 окт 2017, 23:09

хмм, действительно.
Получается методом карвинга можно достать историю браузера, если даже она была удалена?
насколько это реально?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: История браузеров

Сообщение kfv » 10 окт 2017, 09:10

Krec писал(а):хмм, действительно.
Получается методом карвинга можно достать историю браузера, если даже она была удалена?
насколько это реально?

Странные вопросы для человека который не первый год занимается СКТЭ.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: История браузеров

Сообщение Krec » 10 окт 2017, 22:58

kfv писал(а):
Krec писал(а):хмм, действительно.
Получается методом карвинга можно достать историю браузера, если даже она была удалена?
насколько это реально?

Странные вопросы для человека который не первый год занимается СКТЭ.

Я не штатный эксперт, компания у нас частная. Время от времени , по поручению руководства приходится внутреннем порядке выяснить какие то недочеты. По этому нет систематического подхода к делу и что когда то изучал, забывается со временем, так как редко приходится заниматься КТЭ.
А вопросы из первого поста все еще не решены :) И как я понял, первый вопрос не имеет однозначного ответа (может получится, а может нет), то второй вопрос на сегодняшний день не имеет решений ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: История браузеров

Сообщение fobos » 17 окт 2017, 11:42

Krec писал(а):
kfv писал(а):
Krec писал(а):хмм, действительно.
Получается методом карвинга можно достать историю браузера, если даже она была удалена?
насколько это реально?

Странные вопросы для человека который не первый год занимается СКТЭ.

Я не штатный эксперт, компания у нас частная. Время от времени , по поручению руководства приходится внутреннем порядке выяснить какие то недочеты. По этому нет систематического подхода к делу и что когда то изучал, забывается со временем, так как редко приходится заниматься КТЭ.
А вопросы из первого поста все еще не решены :) И как я понял, первый вопрос не имеет однозначного ответа (может получится, а может нет), то второй вопрос на сегодняшний день не имеет решений ?

С использованием специализированного ПО, на мой взгляд, будет намного проще решить оба вопроса разом. Можете попробовать запросить триал версии "Belkasoft Evidence Center" или "internet evidence finder" (IEF точно можно было найти на торрентах). Если не хотите связываться с производителем или пиратить софт, то первое что приходит на ум это утилитки от NirSoft для второго вопроса, а по первому вопросу скопировать файлы истории у используемого браузера и с помощью программулин для работы с SQLite поковырять их.
fobos
Член клуба
 
Сообщения: 31
Зарегистрирован: 10 фев 2011, 19:53
Откуда: Ульяновск
Благодарил (а): 10 раз.
Поблагодарили: 4 раз.

Re: История браузеров

Сообщение Krec » 28 окт 2017, 00:46

Спасибо за дельные рекомендации.
Был один инцидент как то, обнаружили лишь недели спустя и с подозреваемого компа копировали диск акронисом. Я понимаю, что надо было делать побитовую копию, но я как уже сказал - не эксперт и действую по ситуации. под рукой был диск акронисом, им и снял.
Теперь чем можно анализировать историю браузеров из этого образа ? не уверен, что какой то часть данных из браузера не стерты..
задача - найти следы посещения определенного сайта.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: История браузеров

Сообщение Igor Mikhaylov » 28 окт 2017, 11:50

Что мешает взять чистый диск и развернуть на него образ акрониса, а потом исследовать этот диск как обычный носитель?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: История браузеров

Сообщение Krec » 29 окт 2017, 02:40

Igor Mikhaylov писал(а):Что мешает взять чистый диск и развернуть на него образ акрониса, а потом исследовать этот диск как обычный носитель?

А на сколько это правильно будет ? временные метки сохраняться все ?
дела в том, что я подозреваю, что к этому кейсу причастны также разного рода ПО - например почтовые клиенты, TOR(браузер), офисные документы. И все это использовалось для вход на определенный сайт. короче говоря - из сети(это уже точно установлено) кто то выгрузил данные на один сайт, который находится под нашим администрированием. вход на сайт был из нашего IP адреса.
Ладно, если этот образ развернуть на чистый диск, то какими GUI программами можно подробно изучать логи интернет-браузеров?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: История браузеров

Сообщение Igor Mikhaylov » 30 окт 2017, 23:00

Krec писал(а):Ладно, если этот образ развернуть на чистый диск, то какими GUI программами можно подробно изучать логи интернет-браузеров?

Их же миллион.Начиная SQLite вьверов, до Belkasoft и AXIOM
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.


Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron