Главная » Форензика » Просмотр и восстановление истории посещения сайтов
просмотреть историю посещенных сайтов

Просмотр и восстановление истории посещения сайтов

Сегодня будем снова про форензику. В этом форензик кейсе я расскажу о восстановлении истории посещения сайтов и парсинг cookie, какие URL посещал пользователь перед тем, как машина досталась нам в руки для изучения, и пробуем вытащить дополнительную инфу из сохраненных cookie-файлов.

Рассматривать кейс будем на самом банальном примере использования встроенного браузера Internet Explorer. Для этого нам понадобятся две утилиты: IEHistoryView — вьювер URL-истории и IECookiesView — из названия понятно, что просмотрщик cookies.

Еще по теме: Создание дампа памяти всех процессов Windows

Как просмотреть историю посещения сайтов

Как и в предыдущем форензик кейсе, нам понадобится все та же машина с заранее инсталлированной Windows XP. Скачиваем на жесткий диск утилиты IEHistoryView и IECookiesView. Предварительно встроенным в XP IE открываем несколько сайтов, а после запускаем бинарник.

восстановить историю посещения сайтов
Результат работы вьювера IEHistoryView

После запуска утилита автоматически подтягивает всю доступную информацию о сохраненных в истории URL-адресах, названии страниц, дате просмотра, имени пользователя, под которым был произведен сеанс веб-серфинга. В итоге можно выстроить связку «что было просмотрено» — «в какое время» — «каким именно пользователем».

Далее в главном окне программы доступен поиск по ключевому слову. Введем, например, metasploit.

восстановить историю посещения сайтов
Результаты поиска текста metasploit в истории посещения

Самое время приниматься за IECookiesView. Распаковываем предварительно скачанный архив в любую директорию и запускаем. После этого ждем несколько секунд до появления главного окна программы с содержанием сохраненных локально cookie-файлов.

восстановить историю посещения сайтов
Запуск IECookiesView и просмотр cookie-файлов

Теперь можно щелкнуть любую строчку из имеющихся cookie, после чего в нижней панели главного окна станут доступны пункты меню редактирования.

Восстановление истории посещения сайтов и парсинг cookie
Возможность редактирования выбранного cookie-файла
удаленная история посещения сайтов восстановить
Редактирование служебной информации выбранного cookie-файла

Сегодня мы рассмотрели пример восстановления истории веб-серфинга. Минимум теории и максимум практики на самых доступных кейсах. Мы и дальше будем придерживаться этого принципа, так что в скором времени ждите новую порцию форензик кейсов и не тушите свет в своей форензик-лаборатории!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *