شرح: أداه Firefox 3 Extractor
تقييم المستخدمين: / 9
عاديممتاز 
الكاتب خالد عمر   
الخميس, 24 مارس 2011 01:29

شرح يوضح ما هي ملفات بيانات التصفح (Internet History Data Files ), ولماذا تعتبر هذه الملفات مهمه جدا فى عمليه التحقيق الجنائي الرقمى , وأين يمكننا العثور عليها , بالاضافة الى شرح فيديو لكيفية التعامل مع هذه الملفات باستخدام أداة  Firefox 3 Extractor.



استطيع ان اقول ان هذا الشرح سيكون استكمال لموضوع الاخ سارى بخارى عن ملفات  index.dat  الخاصة  بمتصفح Internet Explorer حيث سنقوم اليوم بشرح التعامل مع ملفات البيانات الخاصه بالمتصفحات الاخرى مثل Mozilla FireFox .


ما هى ملفات بيانات التصفح ( History Data Files ) :

هى ملفات يقوم المتصفح بحفظ فيها سجل لجميع المواقع , الكوكيز , عمليات البحث ..etc , التى تمت زيارتها من قبل الشخص العادى او الشخص المشتبه به باستخدام متصفحه مثل Firefox and Google Chrome.

لماذا يحتاج المتصفح هذه الملفات ؟

عندما يقوم أي شخص بتصفح موقع يتم تخزين كافة المحتويات التي تمت زيارتها على القرص الصلب وتسمى هذه الملفات ( Cach Files ) او ( Temporary Internet Files ) لغرض تسريع عملية التصفح في حال تصفح نفس الموقع مره أخرى وتجنب تحميل الموقع مره أخرى . و يتم تخزين كل هذه البيانات و الملفات فى قواعد بيانات SQLite من قبل المتصفح ( Firefox & Google Chrome ) و فى كل مره يتم الاستعلام عنها من قبل المتصفح وفى كل عمليه تصفح يتم حفظها عن طريق استعلامات يتم طلبها و سوف اطرح مثال يوضح ذلك .

مثال : للفاير فوكس
عندما تتصفح موقع يتم تنفيذ هذا الامر لحفظ كل المواقع التى تتصفحها

CREATE TABLE moz_historyvisits (id INTEGER PRIMARY KEY, from_visit INTEGER, place_id INTEGER, visit_date INTEGER, visit_type INTEGER, session INTEGER)


توضيح المثال :

  • id لصنع رقم تسلسلى عشوائى
  • from_visit الموقع الذى تمت زيارته و ترقيمه حسب التسلسل
  • If from_visit = 0 هذا اذا لم تتم زياره والابحار فى الموقع الان من قبل احد اخر
  • place_id تخزين رقم تسلسلى للحاله (Sessions) فى جدول
  • visit_date  الوقت والتاريخ التى تمت الزياره به
  • visit_type نوع التصفح

 

لماذا تعتبر هذه الملفات دليل جنائي رقمي ؟

ببساطه لانها توضح لنا كل نشاط المشتبه به فى عمليه التحقيق الجنائى الرقمى بالوقت والتاريخ . مما يسهل كثيرا العمل حيث يظهر لك طبع او نشاط المشتبه به على الانترنت بشكل عام .

 

أين يمكننا العثور على هذه الملفات ؟

Firefox - GNU/Linux

/home/<user>/.mozilla/firefox/<profile folder>/


Firefox - Windows XP

C:\Documents and Settings\<user>\Application Data\Mozilla\Firefox\Profiles\<profile folder>\


Firefox - Windows Vista & Windows 7

C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\<profile folder>\

حيث <profile folder> يأخذ الشكل التالى xxxxxx.default .حيث ان (xxxxxx) هو اسم عشوائى

Chrome - Windows XP

C:\Documents and Settings\<user>\Local Settings\Application Data\Google\Chrome\User Data\Default\


الملفات التى تهمنا كمحققين رقميين هي :

cookies.sqlite | downloads.sqlite | places.sqlite | search.sqlite | permissions.sqlite


الان جاء وقت التحدى و العمل الجاد ... بعد معرفة ماهي ملفات بيانات التصفح ولماذا تعتبر مهمة , سوف أقوم الآن بالعودة للموضوع الرئيسي  و هو شرح استخدام أداة Firefox 3 Extractor لاستخراج هذه الملفات و الاستفادة منها .


Firefox 3 Extractor

f3e عبارة عن اداه تم اصداها في عام 2008 تعمل على أنظمة ويندوز عن طريق سطر الاوامر . هذه الأداة يمكن تشغيلها على جميع أنظمة التشغيل الأساسية كويندوز (اساسى), ماك عن طريق محاكى مثل MacWindows , لينكس عن طريق محاكى مثل Wine . بالطبع الاداه تحتاج لملفات التصفح متوفره معك حتى تعمل أى أنه لن يبحث عن الملف آلياً , بل يجب توفير الملف له حتى تتمكن الأداة من تحليل الملف.

مميزات الاداه :

  • استخراج كل ملفات من Firefox 3 SQLite databases الى CSV .
  • استخراج كل ملفات من Firefox 3 SQLite databases الى CSV و فك تشفير الوقت والتاريخ .
  • عمل CSV لـ 'Internet History Usage Report' من ملف 'places.sqlite'.
  • عمل HTML لـ 'Internet History Usage Report' من ملف 'places.sqlite'.
  • فك تشفير Mozilla Prtimes .
  • استخراج كل ملفات من Chrome SQLite databases الى CSV .
  • استخراج كل ملفات من Chrome SQLite databases الى CSV و فك تشفير الوقت والتاريخ .

 

الإيجابيات:

  • مجاني .
  • سهل الإستخدام عن طريق سطر الأوامر .
  • تعمل الأداة على جميع أنظمة التشغيل (عن طريق محاكى ).

 

السلبيات :

  • الأداة قديمة نوعاً ما حيث أنه لم يتم تطويرها ولا تحسينها بعد صدورها غير 4 مرات فى شهر واحد.
  • لا تقوم الأداة بالبحث عن الملفات بنفسها او إستخراجها من صور القرص الصلب.

 

طريقة الإستخدام :

للعلم الاداه هيكليه تسلسليه فى العمل اى انها تعمل عن طريق مدخلات مثل Wizard , الاداه سهلة الإستخدام جداً, ولا تحتاج لخبرة لإستخدامها , حيث أنها لا تحتوي إلا على خيارات محدده .مع هذا فقد أعددت شرح فيديو سريع لعمليه استخراج البيانات من الملفات و سوف يتم التطبيق على ملف places.sqlite و هو يحتوى على كل المواقع التى زرتها و العلامات التى تحتفظ بها و الكثير.

ملاحظة : مهم جدا جمع الملفات المراد العمل عليها ووضعها في نفس مجلد الأداة.


الفيديو:



على الرغم من قدم الأداة و عدم قيام مبرمجها بتطويرها لفترة ليست بالقصيرة , Firefox 3 Extractor تعتبر مفيدة وفعالة جدا حيث أنها تقوم بعملها بشكل رائع و منسق .فهي فعلاً تساعد المحقق في الحصول على الدليل الرقمي من هذه الملفات حيث تقوم بتحليل كافية البيانات بنجاح. أنا أنصح الجميع بإستخدام هذه الأداة في أي تحقيق جنائي رقمى .

لتحميل الأداة: Firefox 3 Extractor


المصادر :

 

عن الكاتب:

خالد عمر ، شاب عادى طموح مهتم في مجال الحماية و اختبار الاختراق, يريد تغيير العالم الى الافضل.

التعليقات (13)Add Comment
Silver
....
أرسلت بواسطة: Silver في March 24, 2011
شكرا اخي ...

لماذا ادوات التحقيق الجنائي دائما مهملة وغير مطورة ؟؟؟ بعكس البرامج الاخرى ؟؟
ابراهيم
...
أرسلت بواسطة: ابراهيم في March 24, 2011
السلام عليكم

شكرآ لك اخي خالد ان الأداة رائعة .

وهذا الموضوع مهم جدآ للمحققين الجنائيين .

تحياتي للجميع .

متابع ^_^ +1 .
Loser Zero
...
أرسلت بواسطة: Loser Zero في March 24, 2011
مجال التحقيق الجنائي مهم جدا لكن قليل استخدامه فلهذا لا يوجد مطورين وعندك مثال العرب لا يهتمون بذالك كثير يمكن من مصدر قلي ان مصر بتهتم بشغل ده في الدخليه وامن الدوله و ليا صديق ليا حكي ليه ان مصر فيها معامل مجهزه لموضوع التحقيق الجنائي ده المصدر موثوق فيه لان صحابه بيشتغلو في الموضوع ده في الدخليه و المخبرات بس مهما بردك المجال مش مشهور عند الكثير يمكن انا معرفتش التحقيق الجنائي غير من اي سكيورتي :d
Hit-Man
ج
أرسلت بواسطة: Hit-Man في March 24, 2011
السلام عليكم
أخي خالد عمر أمتعتنا بهدا المقال الجميل
شكرا لك أخي
تحياتي لك أخي
خالد عمر
...
أرسلت بواسطة: خالد عمر في March 24, 2011
Silver >> اخى الكريم اذا كانت الاداه تقوم بعملها على اكمل وجه فلا داعى لتطويرها بأستمرار ، التحقيق الجنائى الرقمى فى وجه نظرى سيف ذو حد واحد .
الاخ Loser Zero اشاء الى نقطه مهمه جدا هى قله الاهتمام بالمجال نفسه .

ابراهيم >> شكرا لك اخى على المشاركه الطيبه ، وفقك الله

Loser Zero >> شكرا لك على الرد المفيدة و فعلا كلامك صحيح بالفعل

Hit-Man >> شكرا لك اخى على المشاركه الطيبه ، وفقك الله
أسامة الشهابي
شكرا اخي
أرسلت بواسطة: أسامة الشهابي في March 24, 2011
أسأل الله العظيم الكريم أن يجزيك خير الجزاء في الدنيا والأخرة
Mr.FaHaD
ماظبطت معي
أرسلت بواسطة: Mr.FaHaD في March 25, 2011
ماظبطت مهي لان امكن ان نسخة الفايرفوكس اخر اصدار ؟؟؟ ياترى ماهو السبب
خالد عمر
...
أرسلت بواسطة: خالد عمر في March 26, 2011
أسامة الشهابي >> شكرا لمرورك العطر
Mr.FaHaD >> البرنامج لا يحتاج الا ان توفر له ملف sqlite لاستخراج البيانات
نادر
^^
أرسلت بواسطة: نادر في March 27, 2011
شكرا أخ خالد على التميز
طه بولاهمي
...
أرسلت بواسطة: الضيف في March 29, 2011
-------------------------------
التحقيق الجنائى الرقمى فى وجه نظرى سيف ذو حد واحد .
-------------------------------
لا اضن ذلك اخي،
اذا كانت هذه الملفات تحتوي على معلومات هامة مثل الكوكيز .. فحصول احدهم عليها قد يسبب اختراق لحساب الفايسبوك الخاص بالضحية و عدة حسابات اخرى التي تستطيع الدخول لها عن طريق الكوكيز.
لكن السؤال الذي يطرح نفسه،
هل يستطيع مبرمج برمجة كود JavaScript خبيث للحصول على هذه الملفات؟؟ ام انها محمية من قبل المتصفح بشكل جيد !!
خالد عمر
...
أرسلت بواسطة: خالد عمر في March 29, 2011
الضيف >> اخى الكريم ، انت لم تدمر نظريتى !!

الملفات غير محميه من المتصفح ، و يمكن الحصول عليها بسهوله
بنقل الملفات من روابطها الموجود بالويندوز او اللينكس
لكن كيف يتم ذلك عن طريق الجافا سكربت :P
تحياتى
دحوم
,,,,
أرسلت بواسطة: دحوم في April 08, 2011
مشكور اخوي بس ياليت لو احد من الاخوان بالاداره يتكرم ويشوف لنا وش المشكله مع مقاطع الفديو ماتشتغل عندكم ... على نظام ابنتو !!

ومشكور مره ثانية على الشرح المميز .. استمر ربي يوفقك .
مؤيد
!!!!!!!!!!!!!!!!!!!!
أرسلت بواسطة: مؤيد في September 06, 2011
الربط مايشتغل

أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول.

busy
 

SecurityTargets