أدوات وبرامجمواضيع ومقالات

مقال : أداه Firefox 3 Extractor

تم أرشفة هذا المحتوى


شرح يوضح ما هي ملفات بيانات التصفح (Internet History Data Files ), ولماذا تعتبر هذه الملفات مهمه جدا فى عمليه التحقيق الجنائي الرقمى , وأين يمكننا العثور عليها , بالاضافة الى شرح فيديو لكيفية التعامل مع هذه الملفات باستخدام أداة  Firefox 3 Extractor.

استطيع ان اقول ان هذا الشرح سيكون استكمال لموضوع الاخ سارى بخارى عن ملفات  index.dat  الخاصة  بمتصفح Internet Explorer حيث سنقوم اليوم بشرح التعامل مع ملفات البيانات الخاصه بالمتصفحات الاخرى مثل Mozilla FireFox .

 

ما هى ملفات بيانات التصفح ( History Data Files ) :

هى ملفات يقوم المتصفح بحفظ فيها سجل لجميع المواقع , الكوكيز , عمليات البحث ..etc , التى تمت زيارتها من قبل الشخص العادى او الشخص المشتبه به باستخدام متصفحه مثل Firefox and Google Chrome.

لماذا يحتاج المتصفح هذه الملفات ؟

عندما يقوم أي شخص بتصفح موقع يتم تخزين كافة المحتويات التي تمت زيارتها على القرص الصلب وتسمى هذه الملفات ( Cach Files ) او ( Temporary Internet Files ) لغرض تسريع عملية التصفح في حال تصفح نفس الموقع مره أخرى وتجنب تحميل الموقع مره أخرى . و يتم تخزين كل هذه البيانات و الملفات فى قواعد بيانات SQLite من قبل المتصفح ( Firefox & Google Chrome ) و فى كل مره يتم الاستعلام عنها من قبل المتصفح وفى كل عمليه تصفح يتم حفظها عن طريق استعلامات يتم طلبها و سوف اطرح مثال يوضح ذلك .

مثال : للفاير فوكس
عندما تتصفح موقع يتم تنفيذ هذا الامر لحفظ كل المواقع التى تتصفحها

CREATE TABLE moz_historyvisits (id INTEGER PRIMARY KEY, from_visit INTEGER, place_id INTEGER, visit_date INTEGER, visit_type INTEGER, session INTEGER)

توضيح المثال :

  • id لصنع رقم تسلسلى عشوائى
  • from_visit الموقع الذى تمت زيارته و ترقيمه حسب التسلسل
  • If from_visit = 0 هذا اذا لم تتم زياره والابحار فى الموقع الان من قبل احد اخر
  • place_id تخزين رقم تسلسلى للحاله (Sessions) فى جدول
  • visit_date  الوقت والتاريخ التى تمت الزياره به
  • visit_type نوع التصفح

 

لماذا تعتبر هذه الملفات دليل جنائي رقمي ؟

ببساطه لانها توضح لنا كل نشاط المشتبه به فى عمليه التحقيق الجنائى الرقمى بالوقت والتاريخ . مما يسهل كثيرا العمل حيث يظهر لك طبع او نشاط المشتبه به على الانترنت بشكل عام .

 

أين يمكننا العثور على هذه الملفات ؟

Firefox – GNU/Linux

/home/<user>/.mozilla/firefox/<profile folder>/

Firefox – Windows XP

C:Documents and Settings<user>Application DataMozillaFirefoxProfiles<profile folder>

Firefox – Windows Vista & Windows 7

C:Users<user>AppDataRoamingMozillaFirefoxProfiles<profile folder>

حيث <profile folder> يأخذ الشكل التالى xxxxxx.default .حيث ان (xxxxxx) هو اسم عشوائى

Chrome – Windows XP

C:Documents and Settings<user>Local SettingsApplication DataGoogleChromeUser DataDefault

الملفات التى تهمنا كمحققين رقميين هي :

cookies.sqlite | downloads.sqlite | places.sqlite | search.sqlite | permissions.sqlite

الان جاء وقت التحدى و العمل الجاد … بعد معرفة ماهي ملفات بيانات التصفح ولماذا تعتبر مهمة , سوف أقوم الآن بالعودة للموضوع الرئيسي  و هو شرح استخدام أداة Firefox 3 Extractor لاستخراج هذه الملفات و الاستفادة منها .

 

Firefox 3 Extractor

f3e عبارة عن اداه تم اصداها في عام 2008 تعمل على أنظمة ويندوز عن طريق سطر الاوامر . هذه الأداة يمكن تشغيلها على جميع أنظمة التشغيل الأساسية كويندوز (اساسى), ماك عن طريق محاكى مثل MacWindows , لينكس عن طريق محاكى مثل Wine . بالطبع الاداه تحتاج لملفات التصفح متوفره معك حتى تعمل أى أنه لن يبحث عن الملف آلياً , بل يجب توفير الملف له حتى تتمكن الأداة من تحليل الملف.

مميزات الاداه :

  • استخراج كل ملفات من Firefox 3 SQLite databases الى CSV .
  • استخراج كل ملفات من Firefox 3 SQLite databases الى CSV و فك تشفير الوقت والتاريخ .
  • عمل CSV لـ ‘Internet History Usage Report’ من ملف ‘places.sqlite’.
  • عمل HTML لـ ‘Internet History Usage Report’ من ملف ‘places.sqlite’.
  • فك تشفير Mozilla Prtimes .
  • استخراج كل ملفات من Chrome SQLite databases الى CSV .
  • استخراج كل ملفات من Chrome SQLite databases الى CSV و فك تشفير الوقت والتاريخ .

 

الإيجابيات:

  • مجاني .
  • سهل الإستخدام عن طريق سطر الأوامر .
  • تعمل الأداة على جميع أنظمة التشغيل (عن طريق محاكى ).

 

السلبيات :

  • الأداة قديمة نوعاً ما حيث أنه لم يتم تطويرها ولا تحسينها بعد صدورها غير 4 مرات فى شهر واحد.
  • لا تقوم الأداة بالبحث عن الملفات بنفسها او إستخراجها من صور القرص الصلب.

 

طريقة الإستخدام :

للعلم الاداه هيكليه تسلسليه فى العمل اى انها تعمل عن طريق مدخلات مثل Wizard , الاداه سهلة الإستخدام جداً, ولا تحتاج لخبرة لإستخدامها , حيث أنها لا تحتوي إلا على خيارات محدده .مع هذا فقد أعددت شرح فيديو سريع لعمليه استخراج البيانات من الملفات و سوف يتم التطبيق على ملف places.sqlite و هو يحتوى على كل المواقع التى زرتها و العلامات التى تحتفظ بها و الكثير.

ملاحظة : مهم جدا جمع الملفات المراد العمل عليها ووضعها في نفس مجلد الأداة.

 

الفيديو:

{flv}f3e{/flv}

على الرغم من قدم الأداة و عدم قيام مبرمجها بتطويرها لفترة ليست بالقصيرة , Firefox 3 Extractor تعتبر مفيدة وفعالة جدا حيث أنها تقوم بعملها بشكل رائع و منسق .فهي فعلاً تساعد المحقق في الحصول على الدليل الرقمي من هذه الملفات حيث تقوم بتحليل كافية البيانات بنجاح. أنا أنصح الجميع بإستخدام هذه الأداة في أي تحقيق جنائي رقمى .

لتحميل الأداة: Firefox 3 Extractor

 

المصادر :

 

عن الكاتب:


خالد عمر ، شاب عادى طموح مهتم في مجال الحماية و اختبار الاختراق, يريد تغيير العالم الى الافضل.

مقالات ذات صلة

‫14 تعليقات

  1. شكرا اخي …

    لماذا ادوات التحقيق الجنائي دائما مهملة وغير مطورة ؟؟؟ بعكس البرامج الاخرى ؟؟

  2. السلام عليكم

    شكرآ لك اخي خالد ان الأداة رائعة .

    وهذا الموضوع مهم جدآ للمحققين الجنائيين .

    تحياتي للجميع .

    متابع ^_^ +1 .

  3. مجال التحقيق الجنائي مهم جدا لكن قليل استخدامه فلهذا لا يوجد مطورين وعندك مثال العرب لا يهتمون بذالك كثير يمكن من مصدر قلي ان مصر بتهتم بشغل ده في الدخليه وامن الدوله و ليا صديق ليا حكي ليه ان مصر فيها معامل مجهزه لموضوع التحقيق الجنائي ده المصدر موثوق فيه لان صحابه بيشتغلو في الموضوع ده في الدخليه و المخبرات بس مهما بردك المجال مش مشهور عند الكثير يمكن انا معرفتش التحقيق الجنائي غير من اي سكيورتي :d

  4. Silver >> اخى الكريم اذا كانت الاداه تقوم بعملها على اكمل وجه فلا داعى لتطويرها بأستمرار ، التحقيق الجنائى الرقمى فى وجه نظرى سيف ذو حد واحد .
    الاخ Loser Zero اشاء الى نقطه مهمه جدا هى قله الاهتمام بالمجال نفسه .

    ابراهيم >> شكرا لك اخى على المشاركه الطيبه ، وفقك الله

    Loser Zero >> شكرا لك على الرد المفيدة و فعلا كلامك صحيح بالفعل

    Hit-Man >> شكرا لك اخى على المشاركه الطيبه ، وفقك الله

  5. أسامة الشهابي >> شكرا لمرورك العطر
    Mr.FaHaD >> البرنامج لا يحتاج الا ان توفر له ملف sqlite لاستخراج البيانات

  6. الضيف >> اخى الكريم ، انت لم تدمر نظريتى !!

    الملفات غير محميه من المتصفح ، و يمكن الحصول عليها بسهوله
    بنقل الملفات من روابطها الموجود بالويندوز او اللينكس
    لكن كيف يتم ذلك عن طريق الجافا سكربت 😛
    تحياتى

  7. ——————————-
    التحقيق الجنائى الرقمى فى وجه نظرى سيف ذو حد واحد .
    ——————————-
    لا اضن ذلك اخي،
    اذا كانت هذه الملفات تحتوي على معلومات هامة مثل الكوكيز .. فحصول احدهم عليها قد يسبب اختراق لحساب الفايسبوك الخاص بالضحية و عدة حسابات اخرى التي تستطيع الدخول لها عن طريق الكوكيز.
    لكن السؤال الذي يطرح نفسه،
    هل يستطيع مبرمج برمجة كود JavaScript خبيث للحصول على هذه الملفات؟؟ ام انها محمية من قبل المتصفح بشكل جيد !!

  8. مشكور اخوي بس ياليت لو احد من الاخوان بالاداره يتكرم ويشوف لنا وش المشكله مع مقاطع الفديو ماتشتغل عندكم … على نظام ابنتو !!

    ومشكور مره ثانية على الشرح المميز .. استمر ربي يوفقك .

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى