25 oct. 2009

Análisis forense de Mozilla Firefox 3.X

Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.

Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.

Los archivos de bases de datos que utiliza son los siguientes:

  • content-prefs.sqlite: Las preferencias individuales para páginas.
  • downloads.sqlite: Historial de descargas.
  • formhistory.sqlite: Contiene los formularios memorizados.
  • permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
  • cookies.sqlite: Las Cookies.
  • places.sqlite: Los datos de los marcadores e historial de navegación.
  • search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
  • webappsstore.sqlite: Almacena las sesiones.

Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:

  • Linux : “/home/"nombre usuario"/.mozilla/firefox//”
  • Windows XP: “C:\Documents and Settings\"nombre usuario"\Application Data\Mozilla\Firefox\Profiles\"carpeta perfil"\”
  • Windows Vista: “C:\Users\"nombre usuario"\AppData\Roaming\Mozilla\Firefox\Profiles\"carpeta perfil"\”

Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que
consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: “1221842272303080” que se descifraría “16:37:52 19/09/2008 UTC”.

Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un método más lento, es más transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas están disponibles para: Windows, Linux y Mac OS X.

Descarga de herramientas SQLite:
http://www.sqlite.org/download.html

Documentación de herramientas SQLite:
http://www.sqlite.org/sqlite.html


También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:

Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas.
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.

Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.

Más información y descarga de Firefox 3 Extractor:
http://www.firefoxforensics.com/f3e.shtml

También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.

Fuente: http://vtroger.blogspot.com/

Author & Editor

Ingeniero Civil en Computación (Universidad de Chile FCFM) y Diplomado en Gestión y Evaluación de Proyectos TI (Universidad de Chile FEN). Actualmente trabajo como Project Manager en varios proyectos y como asesor tecnológico para empresas.

0 Notaciones:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (25) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (1) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (130) Hack Tips (63) Hacked (6) Hacking (18) Hacking Hardware (5) HashCat (1) Herramientas (121) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (1) Leaks (21) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (193) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (145) Seguridad Web (140) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (17) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (66) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.