fortress

Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.

Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.

Los archivos de bases de datos que utiliza son los siguientes:

* content-prefs.sqlite: Las preferencias individuales para páginas.
* downloads.sqlite: Historial de descargas.
* formhistory.sqlite: Contiene los formularios memorizados.
* permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
* cookies.sqlite: Las Cookies.
* places.sqlite: Los datos de los marcadores e historial de navegación.
* search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
* webappsstore.sqlite: Almacena las sesiones.


Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:

* Linux : “/home/"nombre usuario"/.mozilla/firefox//”
* Windows XP: “C:\Documents and Settings\"nombre usuario"\Application Data\Mozilla\Firefox\Profiles\"carpeta perfil"\”
* Windows Vista: “C:\Users\"nombre usuario"\AppData\Roaming\Mozilla\Firefox\Profiles\ "carpeta perfil"\”


Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: “1221842272303080” que se descifraría “16:37:52 19/09/2008 UTC”.

Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un método más lento, es más transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas están disponibles para: Windows, Linux y Mac OS X.

Descarga de herramientas SQLite:
SQLite Download Page

Documentación de herramientas SQLite:
sqlite3: A command-line access program for SQLite databases


También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:

Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas.
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.

Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.

Más información y descarga de Firefox 3 Extractor:
Firefox 3 Forensics - Extractor

También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.

Saludos!!!

Fortress

Fuente --> Análisis forense de Mozilla Firefox 3.X.

__________________
In a world without fences and walls, who needs Gates and Windows?

popo

Agradezco toda la información dada en este post, algo he descubierto no todo lo que hubiera querido, por no poder usar EvidenceCollector-Beta , lo que más me hubiera gustado es saber si el video fue subido o no a youtube , o solo fue transformado flv

popo

Viruscan Enterprise 8.0.0

warriorhood

Créeme que es extraño, intenta descargar el archivo desde internet a ver si sigue saliendo la advertencia de virus...

__________________

popo

Solo he podido sacar información de movimiento de una Memorias USB el día que me la deje, después de recoger la mía a las 11:00 de la mañana, esta Memorias USB se conecto a las 13:00 horas.
Se puede hacer algo con esta prueba

warriorhood

Por lo menos hace parte de un indicio de evidencia, revisa los otros logs de conexión...

__________________