Сегодня будем снова про форензику. В этом форензик кейсе я расскажу о восстановлении истории посещения сайтов и парсинг cookie, какие URL посещал пользователь перед тем, как машина досталась нам в руки для изучения, и пробуем вытащить дополнительную инфу из сохраненных cookie-файлов.
Рассматривать кейс будем на самом банальном примере использования встроенного браузера Internet Explorer. Для этого нам понадобятся две утилиты: IEHistoryView — вьювер URL-истории и IECookiesView — из названия понятно, что просмотрщик cookies.
Еще по теме: Создание дампа памяти всех процессов Windows
Как просмотреть историю посещения сайтов
Как и в предыдущем форензик кейсе, нам понадобится все та же машина с заранее инсталлированной Windows XP. Скачиваем на жесткий диск утилиты IEHistoryView и IECookiesView. Предварительно встроенным в XP IE открываем несколько сайтов, а после запускаем бинарник.
После запуска утилита автоматически подтягивает всю доступную информацию о сохраненных в истории URL-адресах, названии страниц, дате просмотра, имени пользователя, под которым был произведен сеанс веб-серфинга. В итоге можно выстроить связку «что было просмотрено» — «в какое время» — «каким именно пользователем».
Далее в главном окне программы доступен поиск по ключевому слову. Введем, например, metasploit.
Самое время приниматься за IECookiesView. Распаковываем предварительно скачанный архив в любую директорию и запускаем. После этого ждем несколько секунд до появления главного окна программы с содержанием сохраненных локально cookie-файлов.
Теперь можно щелкнуть любую строчку из имеющихся cookie, после чего в нижней панели главного окна станут доступны пункты меню редактирования.
Сегодня мы рассмотрели пример восстановления истории веб-серфинга. Минимум теории и максимум практики на самых доступных кейсах. Мы и дальше будем придерживаться этого принципа, так что в скором времени ждите новую порцию форензик кейсов и не тушите свет в своей форензик-лаборатории!
