🌐 Browser Forensics Cheat Sheet

Артефакты браузеров и их расположение для форензик анализа

🌍

Google Chrome

📁 Основные артефакты

  • History - история посещений
    Default\History
  • Cookies - сохраненные куки
    Default\Cookies
  • Cache - кэш браузера
    Default\Cache\
  • Downloads - история загрузок
    Default\History (downloads table)
  • Bookmarks - закладки
    Default\Bookmarks
  • Autofill - автозаполнение форм
    Default\Web Data
🪟 Windows
%LOCALAPPDATA%\Google\Chrome\User Data\
🍎 macOS
~/Library/Application Support/Google/Chrome/
🐧 Linux
~/.config/google-chrome/
🦊

Mozilla Firefox

📁 Основные артефакты

  • History - история посещений
    places.sqlite
  • Cookies - сохраненные куки
    cookies.sqlite
  • Cache - кэш браузера
    cache2\entries\
  • Downloads - история загрузок
    places.sqlite (moz_annos table)
  • Bookmarks - закладки
    places.sqlite (moz_bookmarks)
  • Form History - история форм
    formhistory.sqlite
🪟 Windows
%APPDATA%\Mozilla\Firefox\Profiles\*.default\
🍎 macOS
~/Library/Application Support/Firefox/Profiles/
🐧 Linux
~/.mozilla/firefox/*.default/
🔷

Microsoft Edge

📁 Основные артефакты

  • History - история посещений
    Default\History
  • Cookies - сохраненные куки
    Default\Cookies
  • Cache - кэш браузера
    Default\Cache\
  • Collections - коллекции
    Default\Collections\collectionsSQLite
  • Passwords - сохраненные пароли
    Default\Login Data
  • Sessions - сессии
    Default\Sessions\
🪟 Windows
%LOCALAPPDATA%\Microsoft\Edge\User Data\
🍎 macOS
~/Library/Application Support/Microsoft Edge/
🐧 Linux
~/.config/microsoft-edge/
🧭

Safari

📁 Основные артефакты

  • History - история посещений
    History.db
  • Downloads - история загрузок
    Downloads.plist
  • Bookmarks - закладки
    Bookmarks.plist
  • Cache - кэш браузера
    com.apple.Safari/Cache.db
  • Top Sites - часто посещаемые
    TopSites.plist
  • Last Session - последняя сессия
    LastSession.plist
🍎 macOS
~/Library/Safari/
📱 iOS
/private/var/mobile/Library/Safari/

🔍 Детальное описание артефактов

📜
История браузера
Содержит URL, заголовки страниц, время посещения, количество визитов. Ключевая информация для восстановления активности пользователя.
🍪
Cookies
Сессионные данные, токены аутентификации, настройки сайтов. Могут содержать информацию о залогиненных аккаунтах.
💾
Кэш браузера
Изображения, HTML страницы, JavaScript файлы. Позволяет восстановить контент даже удаленных сайтов.
⬇️
История загрузок
Список скачанных файлов с URL источника, временем загрузки, размером и путем сохранения на диске.
Закладки
Сохраненные пользователем сайты, структура папок, время добавления. Показывают интересы пользователя.
🔑
Сохраненные пароли
Зашифрованные учетные данные. Можно расшифровать используя мастер-ключ из системы.
📝
Автозаполнение форм
Имена, адреса, телефоны, email и другие данные, введенные в веб-формы.
🔌
Расширения
Установленные дополнения, их настройки и разрешения. Могут содержать вредоносный код.
📍
Local Storage
Данные веб-приложений, сохраненные локально. Часто содержат токены и настройки.

🗄️ SQLite Database Structure

Chrome/Edge History Database
  • urls - все посещенные URL
  • visits - детали каждого визита
  • downloads - информация о загрузках
  • keyword_search_terms - поисковые запросы
  • segments - сегменты URL для поиска
Firefox places.sqlite
  • moz_places - история URL
  • moz_historyvisits - визиты
  • moz_bookmarks - закладки
  • moz_inputhistory - история ввода
  • moz_favicons - иконки сайтов
Chrome Web Data
  • autofill - данные автозаполнения
  • credit_cards - сохраненные карты
  • autofill_profiles - профили
  • keywords - поисковые движки
Safari History.db
  • history_items - элементы истории
  • history_visits - посещения
  • history_tombstones - удаленные записи

🛠️ Browser Forensics Tools

🔍
Browser History Examiner
Комплексный анализ истории всех браузеров
📊
Chrome History View
Просмотр истории Chrome/Edge без запуска браузера
🗄️
DB Browser for SQLite
Просмотр и анализ SQLite баз данных браузеров
💾
ChromeCacheView
Извлечение файлов из кэша Chrome
🔐
ChromePass
Извлечение сохраненных паролей
🦊
Dumpzilla
Python скрипт для анализа Firefox
🌐
Hindsight
Кроссплатформенный анализ Chrome артефактов
📱
Browser History Capturer
Захват истории из запущенных браузеров

💡 Советы по анализу

Обращайте внимание на временные метки - они могут быть в разных форматах (Unix timestamp, WebKit time)
🔄
Проверяйте синхронизированные данные - они могут содержать информацию с других устройств пользователя
🗑️
Удаленные записи часто остаются в SQLite базах как неиспользуемое пространство - используйте carving
🎯
Session Storage и Local Storage могут содержать важные данные веб-приложений
🔐
Для расшифровки паролей Chrome/Edge нужен доступ к DPAPI ключам Windows
📸
Кэш может содержать превью изображений и видео даже с приватных сайтов