Análisis Forense en Firefox 3.x

Navegando por internet me encontre con una  herramienta  Firefox 3 Extractor.

Esta herramienta forense de linea de comandos lo que hace es analizar la base de datos SQLite del navegador y generar un informe completo de los sitios webs visitados, descargas, marcadores y cualquier otra información que puede ser muy útil para un examinador forense.

Base de datos en SQLite?

Esto es porque a partir de la version 3 de firefox se utiliza un nuevo formato para registrar información sobre el historial de navegación en el navegador, en lugar de almacenar la información en un archivo usando el formato de archivo Mork, la información se guarda en una base de datos SQLite.

Es muy sencillo de utilizar, después de que el programa lee los archivos de SQLite en la carpeta del perfil de firefox nos genera un panorama muy completa en formato HTML o también puede extraer los datos a un archivo CSV, este tipo de archivos es un tipo de documento sencillo para presentar datos de forma de tabla, y con un programa de calculo como exel nos ayudara a clasificar los datos.

Firefox 3 Extractor actualmente tiene las siguientes características:

  • Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV.
  • Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.
  • Crear un archivo CSV con un informe del Historia del uso de Internet
  • Crear un archivo HTML con un informe del Historia del uso de Internet
  • Descodificación de PRTime.
  • Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV.
  • Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.

PRTime

Es el formato de fecha utilizado en firefox, este formato se utiliza en la base de datos de SQLite que firefox utiliza para registrar el historial de navegación.

Un ejemplo es PRTime: 1221842272303080
Que decodificada: 16:37:52 19/09/2008 UTC


Ejecutando Firefox 3 Extractor (f3e)

Aqui podemos ver  lo que nos pedirá que tecleemos al ejecutar f3e.

Firefox 3 Extractor (f3e.exe) 0.8.9 by Chris COHEN <admin@firefoxforensics.com>
http://www.firefoxforensics.com/

English or American date format? [E/A] A
UTC offset in minutes decimal, i.e. 0, 360, -90: 0
Case Reference: Test
Case Name: Test
Investigator: Bitsnocturnos

Select the task you wish to perform:
A - Extract RAW data from Firefox 3 SQLite databases to CSV.
B - Extract data from Firefox 3 SQLite databases to CSV and decode dates and times.
C - Create Firefox CSV Internet History Usage Report.
D - Create Firefox HTML Internet History Usage Report.
E - Decode PRtime.

**EXPERIMENTAL**
F - Extract RAW data from Google Chrome SQLite databases to CSV.
G - Extract data from Google Chrome SQLite databases to CSV and decode dates and times.
R - Reset settings (case name etc.)
H - Help
X - Exit

Solo tecleamos la tarea a realizar y listo.
Una vez haciendo esto nos generara un informe de los datos…
En la siguiente imagen se muestra la salida del archivo cookies.sqlite moz_cookies.csv

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: