浏览器取证

4.1 浏览器的收藏夹通常保存了用户感兴趣的网站URL链接,这些链接在一定程度上可以体现用户的倾向性和意图。通常收藏夹默认存储于用户配置文件夹下的Favorites文件夹,本例中位置为“C:UsersAdministratorFavorites”。如图所示

5、思考:新一代IE浏览器的取证方式?

三、火狐浏览器

1、基本认知:Firefox浏览器的数据存储采用的是SQLite数据库,因此可用SQLite数据库查看工具打开该文件进行SQL语句查询查看数据库中的数据。

2、places.sqlite

2.1 本例中,火狐浏览器的数据库文件存储位置为“C:UsersAdministratorAppDataRoamingMozillaFirefoxProfileswzuidpc9.default”,这里需要显示出隐藏文件:点击“组织”->“文件夹和搜索选项”->“查看”->“显示隐藏文件、文件夹和驱动器”->“确定”即可。如图所示

2.2 上网历史记录、书签及下载文件列表数据库名为“places.sqlite”。打开SQLiteStudio软件(软件在桌面取证文件夹下,打开软件选择简体中文),点击菜单栏中的“数据库”按钮,选择“添加数据库”选项。如图所示

2.3 在弹出的“数据库”对话框中,选择“文件”选择框的“+”号按钮。如图所示

2.4 在数据库文件存储文件夹中选择C:UsersAdministratorAppDataRoamingMozillaFirefoxProfileswzuidpc9.default下的“places.sqlite”并点击“确定”。如图所示

2.5 点击“OK”按钮完成添加数据库操作,选择数据库列表中的“places”数据库并点击“连接数据库”按钮。如图所示

2.6 选择“moz_places”表,右键单击浏览器证书过期是什么意思浏览器证书过期是什么意思,在快捷菜单中选择“Generate query for table”->“SELECT”。如图所示

2.7 点击蓝色三角按钮进行查询得到结果,该表中保存了上网历史记录。如图所示

2.8 以同样的方式查询书签数据存放的表“moz_bookmarks”。如图所示

2.9 下载文件列表“moz_annos”。如图所示

1.9 下载文件列表“moz_annos”。如图所示

3、cookies.sqlite

3.1 添加数据库文件“cookies.sqlite”,连接数据库并查看“moz_cookies”表内容。如图所示

4、缓存文件

4.1 打开火狐浏览器,在地址栏中输入“about:cache”查看缓存文件存储位置。如图所示

4.2 点击链接“List Cache Entries”查看缓存。如图所示

5、思考:Chrome浏览器如何进行取证?

本文到此结束,希望对大家有所帮助!

关于作者:

生活百科常识网