4-1 Основи цифрової криміналістики / КР - 01 ДОСЛІДЖЕННЯ АРТЕФАКТІВ БРАУЗЕРУ

Міністерство освіти і науки України

Харківський національний університет радіоелектроніки

Факультет Інфокомунікацій .

Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .

ЗВІТ

з лабораторного заняття №4

з дисципліни

Основи цифрової криміналістики

Тема заняття: Дослідження артефактів браузеру

Харків 2020 р.

МЕТА РОБОТИ

Метою роботи є дослідження артефактів веб браузеру Google Chrome. Аналіз кєшу, історії та інших метаданних браузера.

ХІД ВИКОНАННЯ

1. Артефакти браузеру Chrome

Google Chrome браузер, що розробляється компанією Google на основі вільного браузера Chromium і движка Blink. Являється найпопулярнішим браузером в світі. Використовується як на комп’ютерах так і на мобільних пристроях, а також синхронізує інформацію між всіма пристроями. Chrome зберігає метадані у папці %UserProfile%\AppData\Local\Google\Chrome\User Data\Default.

Історія загрузок, посилань загрузок, посилань відвіданих сайтів та історія пошуку знаходиться в файлі History,що як і багато інших мета файлів являє собою базу даних SQLite. На рисунку 1, зображено історію загрузок.

Рисунок 1 – Історія загрузок

Файл Cookies зберігає данні Cookies файлів веб сторінок які ви відвідували. Також файл Cash зберігає тимчасові медіа файли. Також э додаткові файли історія форм заповнювання, яка зберігається в файлі WebData.

Файл LoginData – містить логіни та хеші паролів, які були збережені.

2. Видалення та відновлення артефактів

Рисунок 2 – Скрипт для видалення артефактів

На рис. 2 показано написання bat файлу, для видалення артефактів браузера. Деякі браузери дозволяють відключити кешування веб сторінок, однак якщо це не можливо завжди можна видалити файли артефактів власноруч, наприклад написати даний скрипт та додати на виконування кожен раз перед відключенням комп’ютера.

Рисунок 3 – Відновлення артефактів

На рис. 3 показано відновлення видалених файлів артефактів. Використання bat файлу для не являється самим надійним видалення історії, кєшу та cookies файлів. Але це таким чином данні все ще можна встановити використовуючи програми RStudio та Recuvа. Використання програми CleanMaster має функцію видалення тимчасових фалів браузера з перезаписом кластера нульовими елементами кілька разів для неможливості відновлення інформації.

3. Збір артефактів браузерів

Рисунок 4 – Hindsight

На рис. 4 показана програма для збору артефактів браузеру, що була скачана на github. Для того щоб витягнути історію бразера я буд використовувати програму Hindsight. Hindsight може аналізувати ряд різних типів веб-артефактів, включаючи URL-адреси, історію завантажень, записи кеша, закладки, записи автозаповнення, збережені паролі, переваги, розширення браузера, файли cookie HTTP.

Рисунок 5 – Паролі та логіни

На рис. 5 показаний результат роботи програми ChromePass працює майже з усіма браузерами та видає всі логіни паролі у розшифрованому виді.

ВИСНОВКИ

В данній лабораторній работі було дослідженно різні файли артифактів веб браузеру. Також було видалено та відновленно кеш файли. Дослідженно програми для сбору та систиматизації історії, данних для входу до облікових записів та інші кеш файли.

На данний час існування компьютера не представляється можливим без підключення до середи інтернет та використання веб браузерів. Для розслідування інцидентів, головний крок сбору данних це сбір артефактів веб браузера.

Завдання з лабораторної роботи виконано у повному обсязі.