تم أرشفة هذا المحتوى

شرح يوضح ما هي ملفات بيانات التصفح (Internet History Data Files ), ولماذا تعتبر هذه الملفات مهمه جدا فى عمليه التحقيق الجنائي الرقمى , وأين يمكننا العثور عليها , بالاضافة الى شرح فيديو لكيفية التعامل مع هذه الملفات باستخدام أداة  Firefox 3 Extractor.

استطيع ان اقول ان هذا الشرح سيكون استكمال لموضوع الاخ سارى بخارى عن ملفات  index.dat  الخاصة  بمتصفح Internet Explorer حيث سنقوم اليوم بشرح التعامل مع ملفات البيانات الخاصه بالمتصفحات الاخرى مثل Mozilla FireFox .

 

ما هى ملفات بيانات التصفح ( History Data Files ) :

هى ملفات يقوم المتصفح بحفظ فيها سجل لجميع المواقع , الكوكيز , عمليات البحث ..etc , التى تمت زيارتها من قبل الشخص العادى او الشخص المشتبه به باستخدام متصفحه مثل Firefox and Google Chrome.

لماذا يحتاج المتصفح هذه الملفات ؟

عندما يقوم أي شخص بتصفح موقع يتم تخزين كافة المحتويات التي تمت زيارتها على القرص الصلب وتسمى هذه الملفات ( Cach Files ) او ( Temporary Internet Files ) لغرض تسريع عملية التصفح في حال تصفح نفس الموقع مره أخرى وتجنب تحميل الموقع مره أخرى . و يتم تخزين كل هذه البيانات و الملفات فى قواعد بيانات SQLite من قبل المتصفح ( Firefox & Google Chrome ) و فى كل مره يتم الاستعلام عنها من قبل المتصفح وفى كل عمليه تصفح يتم حفظها عن طريق استعلامات يتم طلبها و سوف اطرح مثال يوضح ذلك .

مثال : للفاير فوكس
عندما تتصفح موقع يتم تنفيذ هذا الامر لحفظ كل المواقع التى تتصفحها

CREATE TABLE moz_historyvisits (id INTEGER PRIMARY KEY, from_visit INTEGER, place_id INTEGER, visit_date INTEGER, visit_type INTEGER, session INTEGER)

توضيح المثال :

• id لصنع رقم تسلسلى عشوائى

• from_visit الموقع الذى تمت زيارته و ترقيمه حسب التسلسل

• If from_visit = 0 هذا اذا لم تتم زياره والابحار فى الموقع الان من قبل احد اخر

• place_id تخزين رقم تسلسلى للحاله (Sessions) فى جدول

• visit_date  الوقت والتاريخ التى تمت الزياره به

• visit_type نوع التصفح

 

لماذا تعتبر هذه الملفات دليل جنائي رقمي ؟

ببساطه لانها توضح لنا كل نشاط المشتبه به فى عمليه التحقيق الجنائى الرقمى بالوقت والتاريخ . مما يسهل كثيرا العمل حيث يظهر لك طبع او نشاط المشتبه به على الانترنت بشكل عام .

 

أين يمكننا العثور على هذه الملفات ؟

Firefox – GNU/Linux

/home/<user>/.mozilla/firefox/<profile folder>/

Firefox – Windows XP

C:Documents and Settings<user>Application DataMozillaFirefoxProfiles<profile folder>

Firefox – Windows Vista & Windows 7

C:Users<user>AppDataRoamingMozillaFirefoxProfiles<profile folder>

حيث <profile folder> يأخذ الشكل التالى xxxxxx.default .حيث ان (xxxxxx) هو اسم عشوائى

Chrome – Windows XP

C:Documents and Settings<user>Local SettingsApplication DataGoogleChromeUser DataDefault

الملفات التى تهمنا كمحققين رقميين هي :

cookies.sqlite | downloads.sqlite | places.sqlite | search.sqlite | permissions.sqlite

الان جاء وقت التحدى و العمل الجاد … بعد معرفة ماهي ملفات بيانات التصفح ولماذا تعتبر مهمة , سوف أقوم الآن بالعودة للموضوع الرئيسي  و هو شرح استخدام أداة Firefox 3 Extractor لاستخراج هذه الملفات و الاستفادة منها .

 

Firefox 3 Extractor

f3e عبارة عن اداه تم اصداها في عام 2008 تعمل على أنظمة ويندوز عن طريق سطر الاوامر . هذه الأداة يمكن تشغيلها على جميع أنظمة التشغيل الأساسية كويندوز (اساسى), ماك عن طريق محاكى مثل MacWindows , لينكس عن طريق محاكى مثل Wine . بالطبع الاداه تحتاج لملفات التصفح متوفره معك حتى تعمل أى أنه لن يبحث عن الملف آلياً , بل يجب توفير الملف له حتى تتمكن الأداة من تحليل الملف.

مميزات الاداه :

• استخراج كل ملفات من Firefox 3 SQLite databases الى CSV .

• استخراج كل ملفات من Firefox 3 SQLite databases الى CSV و فك تشفير الوقت والتاريخ .

• عمل CSV لـ ‘Internet History Usage Report’ من ملف ‘places.sqlite’.

• عمل HTML لـ ‘Internet History Usage Report’ من ملف ‘places.sqlite’.

• فك تشفير Mozilla Prtimes .

• استخراج كل ملفات من Chrome SQLite databases الى CSV .

• استخراج كل ملفات من Chrome SQLite databases الى CSV و فك تشفير الوقت والتاريخ .

 

الإيجابيات:

• مجاني .

• سهل الإستخدام عن طريق سطر الأوامر .

• تعمل الأداة على جميع أنظمة التشغيل (عن طريق محاكى ).

 

السلبيات :

• الأداة قديمة نوعاً ما حيث أنه لم يتم تطويرها ولا تحسينها بعد صدورها غير 4 مرات فى شهر واحد.

• لا تقوم الأداة بالبحث عن الملفات بنفسها او إستخراجها من صور القرص الصلب.

 

طريقة الإستخدام :

للعلم الاداه هيكليه تسلسليه فى العمل اى انها تعمل عن طريق مدخلات مثل Wizard , الاداه سهلة الإستخدام جداً, ولا تحتاج لخبرة لإستخدامها , حيث أنها لا تحتوي إلا على خيارات محدده .مع هذا فقد أعددت شرح فيديو سريع لعمليه استخراج البيانات من الملفات و سوف يتم التطبيق على ملف places.sqlite و هو يحتوى على كل المواقع التى زرتها و العلامات التى تحتفظ بها و الكثير.

ملاحظة : مهم جدا جمع الملفات المراد العمل عليها ووضعها في نفس مجلد الأداة.

 

الفيديو:

{flv}f3e{/flv}

على الرغم من قدم الأداة و عدم قيام مبرمجها بتطويرها لفترة ليست بالقصيرة , Firefox 3 Extractor تعتبر مفيدة وفعالة جدا حيث أنها تقوم بعملها بشكل رائع و منسق .فهي فعلاً تساعد المحقق في الحصول على الدليل الرقمي من هذه الملفات حيث تقوم بتحليل كافية البيانات بنجاح. أنا أنصح الجميع بإستخدام هذه الأداة في أي تحقيق جنائي رقمى .

لتحميل الأداة: Firefox 3 Extractor

 

المصادر :

• Pasco Digital Forensics .Retrieved March 18,2011
  http://www.isecur1ty.org/articles/programs-tools/792-pasco-digital-forensics.html
• Firefox 3 Extractor Site
  http://www.firefoxforensics.com/f3e.shtml
• NsINavHistoryService
  https://developer.mozilla.org/en/NsINavHistoryService

 

عن الكاتب:

---

خالد عمر ، شاب عادى طموح مهتم في مجال الحماية و اختبار الاختراق, يريد تغيير العالم الى الافضل.