Mostrando entradas con la etiqueta Forense. Mostrar todas las entradas
Mostrando entradas con la etiqueta Forense. Mostrar todas las entradas

22 abr. 2010

[FOCA] Herramienta para análisis de Meta Datos

7zTFy FOCA   Herramienta para 
análisis de Meta Datos

¿Que es la FOCA?

FOCA (Llamado así en honor a Francisco OCA, aunque luego buscaran las siglas “Fingerprinting Organizations with Collected Archives”) es una herramienta para encontrar Metadatos e información oculta en documentos de Microsoft Office, Open Office y documentos PDF/PS/EPS, extraer todos los datos de ellos exprimiendo los ficheros al máximo y una vez extraídos cruzar toda esta información para obtener datos relevantes de una empresa.

¿Que funciones tiene la FOCA?

La foca hace Google y Bing Hacking para descubrir los archivos ofimáticos que tiene un dominio, los descarga masivamente, les extrae los metadatos, organiza los datos y nos muestra la siguiente información:
  • Nombres de usuarios del sistema
  • Rutas de archivos
  • Versión del Software utilizado
  • Correos electrónicos encontrados
  • Fechas de Creación, Modificación e Impresión de los documentos.
  • Sistema operativo desde donde crearon el documento
  • Nombre de las impresoras utilizadas
  • Permite descubrir subdominios y mapear la red de la organización
  • Nombres e IPs descubiertos en Metadatos
  • Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API]
  • Búsqueda de registros Well-Known en servidor DNS
  • Búsqueda de nombres comunes en servidor DNS
  • Búsqueda de IPs con resolución DNS
  • Búsqueda de nombres de dominio con BingSearch ip
  • Búsqueda de nombres con PTR Scanning del segmento de red con DNS interno
  • Transferencia de Zonas
  • Entre otras muchas cosas…
c7y5V FOCA   Herramienta para 
análisis de Meta Datos
La foca es especialmente útil, en la tarea previa a un pen-test, donde debemos recolectar toda la información posible sobre el objetivo para que nuestra tarea se realice de la mejor forma.

Descargar la FOCA

Mas Información:
Pagina Oficial de la FOCA
Versión Online de la FOCA
La Pagina del Maligno, donde habla siempre de su FOCA

Fuente: http://www.dragonjar.org/

11 nov. 2009

Análisis forense de cola de impresión de Windows

Es posible recuperar el último archivo impreso en Windows y visualizarlo. Para realizar esta técnica es necesario saber el funcionamiento de la cola de impresión en Windows.

En el momento que se envía un archivo a imprimir, se crea un archivo de almacenamiento intermedio en formato EMF, donde se almacena lo que se envía a la impresora y las opciones de impresión, su extensiones son: *.SPL y *.SHD. Cuando la impresión finaliza, Windows borra estos archivos que se almacenan en:

c:\windows\system32\spool\printers

Para hacer un análisis forense del último documento impreso, hay que usar un software de recuperación para obtener los archivos *.SPL y *.SHD.

Una vez recuperado estos archivos con la herramienta EMF Spool Viewer es posible: descifrar estos archivos, visualizar el último archivo impreso y obtener las propiedades de impresión utilizadas

Para la cronología de la escena podemos usar los metadatos del archivo o la fecha de eliminación ya que corresponde con la fecha de impresión. Esta técnica funciona para Windows NT/2000/XP/VISTA.

Más información y descarga de EMF Spool Viewer:
http://www.codeproject.com/KB/printing/EMFSpoolViewer.aspx

Más información sobre la cola de impresión y archivos EMF:
http://www.microsoft.com/india/msdn/articles/130.aspx

Fuente: http://vtroger.blogspot.com/

Spider Windows



¡Hola!, Hoy os presento una herramienta interesante, todos conocemos spiders web que buscan y rastrean información valiéndose del motor de Google, Yahoo, Bing, etc. La herramienta de hoy hace algo similar pero en la máquina que le digamos, que puede ser local o estar en la misma red. Se llama Spider Windows y es muy sencilla:


Spider Windows buscará números de tarjeta de crédito, de teléfono, DNI, etc. en la partición o unidad que le indiques, esto incluirá por supuesto ficheros ocultos. Esta búsqueda es configurable permitiendo añadir los patrones que queramos:


Con los resultados que encuentre generará un fichero de log con el PATH de los ficheros que contienen información sensible, este será depositado en la ubicación elegida, si es un servidor externo lo enviará valiéndose del protocolo SYSLOG. ¡Es sorprendente las cosas que uno almacena en su equipo!, yo me he encontrado con números de teléfono que ni recordaba andaban por ahí. En un ambiente un poco más profesional esto nos puede valer por ejemplo para saber que información sensible tenemos en una máquina, para ayudarnos en el cumplimiento de PCI-DSS, LOPD, etc. Si hacemos una auditoría con los patrones apropiados encontraremos qué información está expuesta para un usuario no-administrador en un servidor (por ejemplo).


Hay una alternativa Linux que incluye funcionalidades forenses detectando archivos borrados también, está incluida dentro de la distribución de Helix y se llama Spider Linux. Habrá que tenerla en cuenta también en el análisis de incidentes.

6 nov. 2009

Extracción y uso de metadatos

Los metadatos, es la información insertada en los archivos por el software de edición o creación de los mismos, estés metadatos contienen información acerca de la creación del archivo como: nombre de autor, autores anteriores, nombre de compañía, cantidad de veces que el documento fue modificado, fecha de creación…

Los metadatos pueden tener varias aplicaciones como:

  • En informática forense: Para demostrar en un juicio que unos archivos de imágenes pertenecen a una determinada cámara de fotos.
  • En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red… para después realizar un ataque de fuerza bruta.
Aquí dejo una lista de herramientas de adquisición de metadatos muy útiles:

hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de archivos, y esta disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD.

Más información y descarga:
http://hachoir.org/wiki/hachoir-metadata

ExifTool, la mejor herramienta para extraer metadatos de imágenes ya que puede trabajar con EXIF e IPTC (estándares utilizados por cámara de fotos para intercambiar ficheros de imágenes con compresión JPEG). Además reconoce metadatos insertados por cámaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/Konica-Minolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux.

Más información y descarga:
http://www.sno.phy.queensu.ca/~phil/exiftool/

Metagoofil, diseñada para extraer archivos: pdf, doc, xls y ppt de un sitio web a través de google, y analizar los metadatos de los archivos. Para obtener información y realizar un ataque o un test de intrusión. Esta escrita en python.

Más información y descarga:
http://www.edge-security.com/metagoofil.php

Pinpoint Metaviewer, permite a los usuarios extraer rápidamente meta datos del sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash". Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces modificado por diferentes personas.

Más información y descarga:
http://www.pinpointlabs.com/free_tools/metaviewer/

Fuente: http://vtroger.blogspot.com/

1 nov. 2009

[Password Recovery Kit] Recuperar Passwords perdidas

aquí un Kit de recuperación de passwords de lostpassword.com, passware kit enterprise.
Estas (ver debajo) son las opciones del programa. Podemos ver que puede cargarse un archivo para reventarlo o también podemos meternos por alguno de los wizards, que intentarán buscar archivos protegidos de distintos tipos por el disco duro (explorer, pdfs, ...) y recuperar sus passwords ...


La lista de formatos que es capaz de atacar es inmensa:

Acrobat 3.0   PDF   Instant Recovery / Brute-force Recovery - Fast
Acrobat 4.0  PDF  Instant Recovery / Brute-force Recovery - Fast
Acrobat 5.0  PDF  Instant Recovery / Brute-force Recovery - Slow
Acrobat 6.0  PDF  Instant Recovery / Brute-force Recovery - Slow
Acrobat 7.0  PDF  Instant Recovery / Brute-force Recovery - Slow
Acrobat 8.0  PDF  Instant Recovery / Brute-force Recovery - Slow
Acrobat 9.0  PDF  Instant Recovery / Brute-force Recovery - Medium
Symantec ACT! 2.0  BLB  Instant Recovery
Symantec ACT! 3.0  BLB  Instant Recovery
Symantec ACT! 4.0  BLB  Instant Recovery
Symantec ACT! 2000  BLB  Instant Recovery
ACT! by Sage 2005  ADF  Instant Recovery
ACT! by Sage 2006  ADF  Instant Recovery
ACT! by Sage 2007  ADF  Instant Recovery
ACT! by Sage 2008  ADF  Instant Recovery
ACT! by Sage 2009  ADF  Instant Recovery
BestCrypt 6.0  JBC  Brute-force Recovery - Slow
BestCrypt 7.0  JBC  Brute-force Recovery - Slow
BestCrypt 8.0  JBC  Brute-force Recovery - Slow
FileMaker Pro 3.0  FP3  Instant Recovery
FileMaker Pro 4.0  FP3  Instant Recovery
FileMaker Pro 5.0  FP5  Instant Recovery
FileMaker Pro 6.0  FP5  Instant Recovery
FileMaker Pro 7.0  FP7  Instant Removal
FileMaker Pro 8.x  FP7  Instant Removal
FileMaker Pro 9.0  FP7  Instant Removal
FileMaker Pro 10.0  FP7  Instant Removal
ICQ 2000 - 2003  DAT  Instant Recovery
ICQ 99a  DAT  Instant Recovery
ICQ Lite  FB  Instant Recovery
Lotus 1-2-3 1.1+  WK!, WK1, WK4, WRC, WR1, WR9, 123  Instant Recovery
Lotus Notes 4.x  ID  Brute-force Recovery - Medium
Lotus Notes 6.x  ID  Brute-force Recovery - Medium
Lotus Notes 7.0  ID  Brute-force Recovery - Medium
Lotus Notes 8.0
(RC2 encryption)  ID  Brute-force Recovery - Medium
Lotus Organizer 1.0  ORG  Instant Recovery
Lotus Organizer 2.0  OR2  Instant Recovery
Lotus Organizer 3.0  OR3  Instant Recovery
Lotus Organizer 4.0  OR4  Instant Recovery
Lotus Organizer 5.0  OR5  Instant Recovery
Lotus Organizer 6.0  OR6  Instant Recovery
Lotus Word Pro 96 - 99  LWP  Instant Recovery
Mozilla Firefox 1.0   Instant Recovery
Mozilla Firefox 2.0   Instant Recovery
Mozilla Firefox 3.0   Instant Recovery
MS Access 2.0  MDB  Instant Recovery
MS Access 95  MDB  Instant Recovery
MS Access 97  MDB  Instant Recovery
MS Access 2000  MDB  Instant Recovery
MS Access 2002  MDB  Instant Recovery
MS Access 2003  MDB  Instant Recovery
MS Access 2007  ACCDB  Brute-force Recovery - Slow
MS Access 2.0 System Database  MDA  Instant Recovery
MS Access 97 System Database  MDW  Instant Recovery
MS Access 2000 System Database  MDW  Instant Recovery
MS Access VBA  MDA  Instant Recovery or Reset
MS Backup  QIC  Instant Recovery
MS Excel 4.0  XLS  Instant Recovery
MS Excel 5.0  XLS  Instant Recovery
MS Excel 95  XLS  Instant Recovery
MS Excel 97  XLS  Instant Recovery or Removal / Brute-force Recovery - Fast
MS Excel 2000  XLS  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Excel 2002  XLS  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Excel 2003  XLS  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Excel 2007  XLSX, XLSM  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Pocket Excel  PXL  Instant Recovery
MS Excel VBA  XLA, XLSM  Instant Recovery or Reset
MS Internet Explorer 4.0 - 8.0 Website   Instant Recovery
MS Internet Explorer 6.0 - 8.0 Webform   Instant Recovery
MS Internet Explorer 6.0 - 8.0 Content Advisor   Instant Removal
MS Mail  MMF  Instant Recovery
MS Money 99 or earlier  MNY  Instant Recovery
MS Money 2000 - 2001  MNY  Instant Recovery
MS Money 2002  MNY  Brute-force Recovery - Medium
MS Money 2003 - 2004  MNY  Brute-force Recovery - Medium
MS Money 2005 - 2007  MNY  Brute-force Recovery - Medium
MS OneNote 2003 Section  ONE  Brute-force Recovery - Medium
MS OneNote 2007 Section  ONE  Brute-force Recovery - Slow
MS Outlook 2000/2003/2007 Email Accounts     Instant Recovery
MS Outlook 2000/2003/2007 Form Template  OFT  Instant Recovery
MS Outlook 2000/2003/2007 Personal Storage  PST  Instant Recovery
MS Outlook Express Email Accounts   Instant Recovery
MS Outlook Express Identities   Instant Recovery
MS PowerPoint 2002  PPT  Instant Recovery or Removal / Brute-force Recovery - Medium
MS PowerPoint 2003  PPT  Instant Recovery or Removal / Brute-force Recovery - Medium
MS PowerPoint 2007  PPTX, PPTM  Instant Recovery or Removal / Brute-force Recovery - Slow
MS PowerPoint VBA  PPT, PPTM  Instant Recovery or Reset
MS Project 95  MPP  Instant Recovery
MS Project 98  MPP  Instant Recovery
MS Project 2000  MPP  Instant Recovery
MS Project 2002  MPP  Instant Recovery
MS Project 2003  MPP  Instant Recovery
MS SQL 2000  MDF  Instant Reset
MS SQL 2005  MDF  Instant Reset
MS SQL 2008  MDF  Instant Reset
MS Windows NT Users / Secure Boot Option   Instant Removal
MS Windows 2000 Users / Secure Boot Option   Instant Removal
MS Windows 2000 Server Users / Secure Boot Option   Instant Removal
MS Windows 2000 Server Active Directory Administrator   Instant Removal
MS Windows XP Users / Secure Boot Option   Instant Removal
MS Windows 2003 Server Users / Secure Boot Option   Instant Removal
MS Windows 2003 Server Active Directory Administrator   Instant Removal
MS Windows 2003 SBS Users / Secure Boot Option   Instant Removal
MS Windows 2003 SBS Active Directory Administrator   Instant Removal
MS Windows Vista (32 bits) Users / Secure Boot Option   Instant Removal
MS Windows 2008 Server Users / Secure Boot Option   Instant Removal
Network Connections   Instant Recovery
Remote Desktop Connections  RDP  Instant Recovery
MS Word 1.0  DOC, DOT  Instant Recovery
MS Word 2.0  DOC, DOT  Instant Recovery
MS Word 3.0  DOC, DOT  Instant Recovery
MS Word 4.0  DOC, DOT  Instant Recovery
MS Word 5.0  DOC, DOT  Instant Recovery
MS Word 6.0  DOC, DOT  Instant Recovery
MS Word 95  DOC, DOT  Instant Recovery
MS Word 97  DOC, DOT  Instant Recovery or Removal / Brute-force Recovery - Fast
MS Word 2000  DOC, DOT  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Word 2002  DOC, DOT  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Word 2003  DOC, DOT  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Word 2007  DOCX, DOTX, DOCM  Instant Recovery or Removal / Brute-force Recovery - Slow
MS Word VBA  DOC, DOT, DOCM, DOTM  Instant Recovery or Reset
MYOB earlier than 2004  PLS, PRM  Instant Recovery
MYOB 2004  DAT  Instant Reset
MYOB 2005  MYO  Instant Reset
MYOB 2006  MYO  Instant Reset
MYOB 2007  MYO  Instant Reset
MYOB 2008  MYO  Instant Reset
MYOB 2009  MYO  Instant Reset
Norton Backup  SET  Instant Recovery
Paradox Database  DB  Instant Recovery
Peachtree 2002 - 2006  DAT  Instant Recovery
Peachtree 2007  DAT  Instant Recovery
Quattro Pro 5 - 6  QPW, WB1, WB2, WB3  Instant Recovery
Quattro 7 - 8  QPW, WB1, WB2, WB3  Instant Recovery
Quattro Pro 9 - 12, X3, X4  QPW  Instant Recovery
QuickBooks 3.x - 4.x  QBW, QBA  Instant Recovery
QuickBooks 5.x  QBW, QBA  Instant Recovery
QuickBooks 6.x - 8.x  QBW, QBA  Instant Recovery
[...]
Quicken 2008  QDF  Brute-force Recovery - Slow
Quicken 2009  QDF  Brute-force Recovery - Slow
RAR 2.0 Archive  RAR  Brute-force Recovery - Slow
RAR 2.9 - 3.x (AES Encryption) Archive  RAR  Brute-force Recovery - Slow
Schedule+ 1.0  CAL  Instant Recovery
Schedule+ 7.x  SCD  Instant Recovery
WordPerfect 5.x  WPD  Instant Recovery
WordPerfect 6.0  WPD  Instant Recovery
WordPerfect 6.1  WPD  Instant Recovery
WordPerfect 7 - 12, X3, X4  WPD  Instant Recovery
ZIP Archive  ZIP  Instant Removal / Brute-force Recovery - Medium


Lo dicho, inmensa. Entre los tipos de archivos encontramos winrar, winzip, access, lotus organizer, ... Más o menos todos los importantes.

También podemos hacer que trabaje por nosotros y busque passwords de outlook, conexiones de red, explorer ...


Veamos un ejemplo de cómo se buscan y recuperan passwords de archivos protegidos PDF:








Tan simple como eso. Passware kit enterprise es una muy buena herramienta para buscar y recuperar passwords "perdidas", que posiblemente podamos reutilizar ...

Fuente: http://hacking-avanzado.blogspot.com/

31 oct. 2009

[File Ripper] Recuperando archivos

Hoy vamos a hablar de una utilidad bastante interesante, en principio para hacer análisis forense, pero que también puede usarse para pen-testing, por ejemplo analizando un dump de la memoria de un ordenador hackeado o un archivo pcap obtenido con algún sniffer: file ripper.

Fripper, tal y como su autor dice en la descripción, es una utilidad para extraer archivos PNG, HTML, GIF, ZIP, LBM, PBM, ANM, BAT, BAS, RTF, HLP, WAV, WRI, JPG, ARJ, DOS EXE, ..., y se basa en buscar las cabeceras de estos archivos.

Su instalación es trivial:
wget http://home.minlos.no/%7Epeter.munsterhjelm/km/ripper.tar.bz2
bunzip2 ripper.tar.bz2
tar xvf ripper.tar

Y, ahora, dentro del directorio fripper-1.0.2 tendremos un ejecutable, ripper, que es el que usaremos para extraer archivos.

Estas son las opciones de fripper, nada de especial. Lo ejecutaremos con los parámetros por defecto:

Y ahora lo ejecutamos con input un pdf cualquiera. En este caso, ha encontrado una imagen "embedida", que luego podremos ver con el visor que queramos:

En el pantallazo, podéis ver que ha encontrado un JPG, que podemos encontrar en nuestro directorio (356.pdf_out0.jpg). Esta es la imagen dumpeada, que podemos ver con cualquier visor de imágenes.

La utilidad puede usarse contra un dump cualquiera de una partición, para extraer archivos borrados, etc.

Fuente: http://hacking-avanzado.blogspot.com/

29 oct. 2009

Análisis de datos ocultos en un documento PDF

El formato PDF conserva los cambios realizados en un documento, de tal forma que crea un historial de las modificaciones que sufre. Este historial se mantiene de forma oculta en el archivo PDF.

Con la herramienta PDFResurrect para análisis de documentos PDF, es posible extraer todas las versiones previas y generar un resumen de cambios, producidos entre las distintas versiones del documento. Esta herramienta también permite eliminar este historial de cambios en un documento PDF para que no pueda ser recuperado por nadie.

Esta herramienta sirve para: verificar la autenticidad de un documento, comprobar que no ha sido manipulado por terceras personas y recabar metadatos del mismo.

Más información y descarga de PDFResurrect:
http://www.757labs.com/projects/pdfresurrect

Fuente: http://vtroger.blogspot.com/

26 oct. 2009

Análisis de documentos PDF en busca de código malicioso

Los archivos PDF pueden llegar a ser un riesgo de seguridad ya que debido a sus propiedades, en concreto el uso de filtros, permiten esconder información mediante la codificación y compresión de streams. Esta característica es utilizada para esconder código Javascript y explotar las vulnerabilidades del lector PDF y así comprometer la seguridad del sistema.

Con la herramienta Origami es posible buscar código malicioso en archivos PDF, con potentes scripts y una interfaz grafica que facilita el análisis.

Entre las características de Origami destaca:
  • Permite explorar documentos a nivel de objeto, buscando código en streams codificados o ofuscados.
  • Realiza operaciones de alto nivel, tales como: encriptación, desciframiento y firma.
  • Posee un interfaz grafico para analizar rápidamente en el contenido del documento.
Origami contiene un conjunto de scripts para facilitar el análisis y otras tareas:
  • detectjs.rb: busca código Javascript en el documento.
  • embed.rb: agrega un attachment al documento.
  • create-jspdf.rb: agrega código Javascript a un archivo PDF, que se ejecutara cuando se abra el documento.
  • moebius.rb: transforma un PDF en moebius.
  • encrypt.rb: cifra un archivo PDF.
Más información y descarga de Origami:
http://security-labs.org/origami

Fuente: http://vtroger.blogspot.com/

25 oct. 2009

Análisis forense de Mozilla Firefox 3.X

Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.

Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.

Los archivos de bases de datos que utiliza son los siguientes:

  • content-prefs.sqlite: Las preferencias individuales para páginas.
  • downloads.sqlite: Historial de descargas.
  • formhistory.sqlite: Contiene los formularios memorizados.
  • permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
  • cookies.sqlite: Las Cookies.
  • places.sqlite: Los datos de los marcadores e historial de navegación.
  • search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
  • webappsstore.sqlite: Almacena las sesiones.

Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:

  • Linux : “/home/"nombre usuario"/.mozilla/firefox//”
  • Windows XP: “C:\Documents and Settings\"nombre usuario"\Application Data\Mozilla\Firefox\Profiles\"carpeta perfil"\”
  • Windows Vista: “C:\Users\"nombre usuario"\AppData\Roaming\Mozilla\Firefox\Profiles\"carpeta perfil"\”

Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que
consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: “1221842272303080” que se descifraría “16:37:52 19/09/2008 UTC”.

Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un método más lento, es más transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas están disponibles para: Windows, Linux y Mac OS X.

Descarga de herramientas SQLite:
http://www.sqlite.org/download.html

Documentación de herramientas SQLite:
http://www.sqlite.org/sqlite.html


También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:

Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas.
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.

Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.

Más información y descarga de Firefox 3 Extractor:
http://www.firefoxforensics.com/f3e.shtml

También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.

Fuente: http://vtroger.blogspot.com/