terça-feira, 18 de fevereiro de 2014
Hoje em dia as pessoas passam maioritariamente do tempo a navegar na internet utilizando browsers. Com esta utilização muita informação se pode extrair e recolher.
Neste artigo vamos utilizar só ferramentas e recursos de código aberto, pois normalmente as ferramentas de análise forense computacional são demasiado caras.
Vamos começar pelo browser Internet Explorer, nativo e presente em todas as versões do Windows.
Index.dat:
O index.dat é um ficheiro de base de dados utilizado pelo internet explorer,
no formato MSIECF(Microsoft Internet Explorer Cache File Format) que contem a informação de todas as paginas visitadas incluído a data de acesso, localização no diretório de cache, HTTP headers e muito mais. Muitos softwares, como o Skype, o Live Messenger entre outros usam o Internet Explorer para mostrarem informação e para se ligarem à internet, logo toda essa informação também está disponível no ficheiro index.dat.
Localização do ficheiro index.dat:
Windows XP e anteriores:
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files\Content.IE5
Windows vista e 7:
C:\Users\%username%\ AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
Windows 8 será discutido noutro tópico.
Vamos começar por pesquisar o conteúdo do ficheiro index.dat, para isso utilizaremos a ferramenta Pasco, desenvolvida pela Foundstone, é uma ferramenta antiga mais ainda muito utilizada nos dias que correm e presente em muitas distribuições de Live Forensics.
Correndo a ferramenta numa shell linux ./pasco -d index.dat , obtemos o seguinte resultado, com o seguinte formato:
TYPE, URL, MODIFIED TIME, ACCESS TIME, FILENAME, DIRECTORY, HTTP HEADERS
Existe outra ferramenta de nome msiecfexport capaz de extrair e organizar a informação do ficheiro índex.dat de uma forma mais clara.
Cache:
No passo seguinte vamos pesquisar o conteúdo dos ficheiros de cache. Os ficheiros de cache são guardados localmente em disco e são o resultado da navegação na internet.
Estes ficheiros são guardados nos seguintes diretórios:
Windows XP :
C:\Documents and Settings\%username%\Local Settings\Temporary Internet Files\Content.IE5
Windows Vista e 7:
C:\Users\%username%\AppData\ Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
Windows 8 será discutido noutro tópico.
Um exemplo utilizando o msiecfexport:
Record type : URL
Offset range : 67968 - 68224 (256)
Location : temp:http://thepaperwall.com/wallpapers/girls/big/big_45fb5c22369e1c5d517f0282bd9250105f407e77.jpg
Primary time : Feb 05, 2013 04:26:07.030000000
Secondary time : Feb 05, 2013 04:26:02.830616500
Filename : big_45fb5c22369e1c5d517f0282bd9250105f407e77[1].jpg
Cache directory index : 1 (0x01)(OV08Z8PA)
Como se pode verificar o ficheiro big_45fb5c22369e1c5d517f0282bd9250105f407e77[1].jpg está localizado localmente no diretório de cache OV08Z8PA. Sendo assim, a localização exata do ficheiro é C:\Users\%username%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OV08Z8PA\big_45fb5c22369e1c5d517f0282bd9250105f407e77[1].jpg .
Utilizando a ferramenta Pasco, o output é o seguinte:
URL temp:http://thepaperwall.com/wallpapers/g...105f407e77.jpg 02/04/2013 20:26:02 02/04/2013 20:26:07 big_45fb5c22369e1c5d517f0282bd9250105f407e77[1].jpg OV08Z8PA
Cookies:
Cookie, testemunho de ligação, ou, simplesmente, testemunho é um grupo de dados trocados entre o browser e o servidor de páginas, colocado num ficheiro de texto criado no computador do utilizador.
A sua função principal é de manter a persistência de sessões HTTP. A utilização e implementação de cookies foi um acrescento ao HTTP e muito debatida na altura em que surgiu o conceito, introduzido pela Netscape, devido às consequências de guardar informações confidenciais num computador, já que por vezes pode não ser devidamente seguro.
Dito isto, os Cookies podem ser encontrados em:
Windows XP:
C:\Documents and Settings\%username%\Cookies
Windows Vista e 7:
C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Cookies
Windows 8 será discutido noutro tópico.
Os Cookies normalmente estão em formato texto, e é muito difícil compreender a sua estrutura:
s_vsn_skypeallprod_1
3876974264756
skype.com/
1600
2798871808
31012227
2587949280
30277570
*
s_vi
[CS]v1|288542BB05010F82-4000012C80000C57[CE]
skype.com/
1024
505403008
30645652
3108158896
30278524
*
SC
CC=:CCY=:LC=en:TM=1359888053:TS=1359888053:TZ=:VER=0/6.1.0.129/272
skype.com/
1536
1767549056
30351564
3897935152
30278138
*
Vamos utilizar um ferramenta chamada Galleta, lançada pela McAfee labs.
Cookie: C:\Users\Osanda\AppData\Roaming\Microsoft\Windows\Cookies\un0wn@skype[2].txt
SITE, VARIABLE, VALUE, CREATION, TIME EXPIRE, TIME, FLAGS
skype.com/ s_vsn_skypeallprod_1 3876974264756 Thu Jan 31 14:52:34 2013 Tue Jan 31 14:52:34 2023 1600
skype.com/ s_vi [CS]v1|288542BB05010F82-4000012C80000C57[CE] Tue Feb 5 08:42:25 2013 Sun Feb 4 08:42:41 2018 1024
skype.com/ SC CC=:CCY=:LC=en:TM=1359888053:TS=1359888053:TZ=:VER=0/6.1.0.129/272 Sun Feb 3 10:40:39 2013 Mon Feb 3 10:40:53 2014 1536
A informação fica estruturada e permite uma melhor compreensão da mesma.
Favoritos:
Pesquisar os favoritos de um utilizador é sempre interessante, pode-se conseguir identificar alguns dos seu interesses.
Localização dos Favoritos:
Windows XP:
C:\Documents and Settings\%username%\Favorites
Windows Vista e 7:
C:\Users\%username%\Favorites
Windows 8 será discutido noutro tópico.
Favoritos estão divididos com ícones diferentes. Adicionei o website Google.pt aos favoritos, conseguimos observar que o ficheiro Google.url foi adicionado ao diretório.
[DEFAULT]
BASEURL=http://www.google.pt/
[{000214A0-0000-0000-C000-000000000046}]
Prop3=19,2
[InternetShortcut]
URL=http://www.google.pt/
IDList=
IconFile=http://www.google.pt/favicon.ico
IconIndex=1
Artigo original: https://forum.intern0t.org/security-tutorials-guides/4700-browser-forensic-part-1-a.html
