Análisis Forense en Firefox 3.x

Leyendo en SANSforensics me encontré con un post de Keven Murphy que me pareció interesante sobre la herramienta utilizada llamada Firefox 3 Extractor. Esta herramienta forense de linea de comandos lo que hace es analizar la base de datos SQLite del navegador y generar un informe completo de los sitios webs visitados, descargas, marcadores y cualquier otra información que puede ser muy útil para un examinador forense.

Base de datos en SQLite?
Esto es porque a partir de la version 3 de firefox se utiliza un nuevo formato para registrar información sobre el historial de navegación en el navegador, en lugar de almacenar la información en un archivo usando el formato de archivo Mork, la información se guarda en una base de datos SQLite.

Es muy sencillo de utilizar, después de que el programa lee los archivos de SQLite en la carpeta del perfil de firefox nos genera un panorama muy completa en formato HTML o también puede extraer los datos a un archivo CSV, este tipo de archivos es un tipo de documento sencillo para presentar datos de forma de tabla, y con un programa de calculo como exel nos ayudara a clasificar los datos.

Firefox 3 Extractor actualmente tiene las siguientes características:

• Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV.
• Extrae todos los datos de Firefox 3 a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.
• Crear un archivo CSV con un informe del Historia del uso de Internet
• Crear un archivo HTML con un informe del Historia del uso de Internet
• Descodificación de PRTime.
• Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV.
• Extrae todos los datos de Chrome a partir de la base de datos SQLite a CSV y decodificar las fechas y horas.

PRTime
Es el formato de fecha utilizado en firefox, este formato se utiliza en la base de datos de SQLite que firefox utiliza para registrar el historial de navegación.

Un ejemplo es PRTime: 1221842272303080
Que decodificada: 16:37:52 19/09/2008 UTC

Ejecutando Firefox 3 Extractor (f3e)

En la siguiente imagen se muestra lo que nos pedirá que tecleemos al ejecutar f3e.

Menú Principal de Firefox 3 Extractor

Solo tecleamos la tarea a realizar y listo.

Una vez haciendo esto nos generara un informe de los datos…

En la siguiente imagen se muestra la salida del archivo cookies.sqlite moz_cookies.csv

Todas las cookies del navegador

Y en esta siguiente imagen se muestra la salida del archivo downloads.sqlite moz_downloads.csv

Salida del archivo downloads.sqlite moz_downloads.csv que contiene información de las descargas realizadas.

Muestra la salida del nombre del archivo descargado (name), la dirección de donde fue descargado (source) y la dirección donde se almaceno (target).

Pero eso no es todo, hay mas información referente a la fecha en que fue descargada y si se realizo desde algún buscador tal como se muestra en la siguiente imagen claramente nos indica que el documento redesinalambricas.pdf fue descargado desde el servidor http://blyx.com/public/wireless/redesInalambricas.pdf y utilizando de referencia la siguiente dirección. http://www.google.com.mx/search?hl=es&q=redes+wireless+pdf&btnG=Buscar+con+Google&meta=

También tenemos la posibilidad de todos los datos no los genere en un archivo HTML como este ejemplo.

¿Dónde podemos encontrar los archivos de SQLite?

Firefox - GNU/Linux

/home//.mozilla/firefox//

Firefox - Windows XP

C:\Documents and Settings\\Application Data\Mozilla\Firefox\Profiles\\

Firefox - Windows Vista

C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\\

Chrome - Windows XP

C:\Documents and Settings\\Local Settings\Application Data\Google\Chrome\User Data\Default\

Referencias:
http://sansforensics.wordpress.com/2009/03/13/firefox-3x-forensics-using-f3e/
http://www.firefoxforensics.com/f3e.shtml

Fuente: http://delfirosales.blogspot.com/2009/03/analisis-forense-en-firefox-3x.html

Articulo realizado por delfi con base al publicado en la sans

saludos