بسم الله الرحمن الرحيم

pa2014-forensics-web-jpgيوجد الكثير من الاماكن التي تحتوي على معلومات مفيده للمحقق الجنائي الرقمي اثناء تحليل النظام لاستخراج المعلومات , ولا يمكن حصر هذه الاماكن والمصادر بسهولة لكثرتها ودقة تفاصيلها , احد هذه الاماكن هي متصفح الانترنت الذي يحتوي على معلومات مهمة جدا يجب استخراجها ولها اولوية كبيره من اي معلومات اخرى على جهاز الدليل مثل تاريخ التصفح والايميلات والمفضلة واي المواقع زارها قبل الاخرى والملفات التي تم تحميلها من الانترنت وكذلك البيانات التي ادخلها في بعض المواقع والعديد من المعلومات الاخرى  , سوف نركز في هذا المقال على متصفح الفايرفوكس ونستعرض اهم الملفات والمعلومات الممكن استخراجها منه  .

من المعروف ان اول خطوة من اجراء عملية التحقيق الجنائي الرقمي هو اخذ صوره كاملة من النظام او القرص للدليل , ثم تحليل هذه الصورة في المعمل والتعامل مع البيانات التي تحتويها , في مقالنا اليوم عن متصفح الفايرفوكس , يجب علينا معرفة مسار ملفات الفايرفوكس لكي نقوم بنسخها من الصورة الموجوده لدينا للبدء في عملية التحليل :

Windows XP:

o C:\Documents and Settings\[User]\Application Data\Mozilla\ Firefox\Profiles\xxxxxxxx.default\
o C:\Documents and Settingd\[user]\Local Settings\Application Data\ Firefox\Profiles\xxxxxxxx.default\Cache\

• Windows Vista, Windows 7, and Windows 8:

o C:\Users\[User]\AppData]Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\Cache\
o C:\Users\[User]\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\

For Linux and Mac based systems, the default locations are as follows:

• Linux:

o ~/.mozilla/firefox/xxxxxxxx.default/

• Mac OS X:

o ~/Library/Application Support/Firefox/Profiles/xxxxxxxx.default/
o ~/Library/Application Support/Mozilla/Extensions
o ~/Library/Caches/Firefox/Profiles/xxxxxxxx.default/Cache/

هذه المسارات التي تتواجد بها ملفات فايرفوكس يمكن عمل mount للصوره التي لديك للدليل وسحب الملفات  او استخراج الملفات من الصورة الى جهازك الفعلي باستخدام احد البرامج التي تستعرض صور القرص مثل DFF او ftk imager  .

عرض معلومات تصفح متصفح الفايرفوكس .

يحتوي متصفح الفايرفوكس على اضافة موجوده افتراضيا بداخله تمكنك من استعراض ملفات الكاش الخاصة بالمتصفح عن طريق فتح العنوان “about:cache” بداخل المتصفح .

cach

كما تلاحظون في الصوره السابقة ظهرت لنا معلومات الكاش والتي تتكون من :

  • Memory cache device
  • • Disk cache device
  • Offline cache device

تستطيع تصفح جميع العناصر التي تم تخزينها في الكاش واستعراضها ومعرفة التفاصيل الخاصه بكل عنصر على سبيل المثال هذه الصورة :

الكاش

 

كما تلاحظون ظهرت جميع البيانات الخاصة بالصورة بمافيها مسارها في الجهاز وتاريخ التعديل وكل شئ تقريبا متعلق بالكاش  وهذه  كلها معلومات خاصه بالكاش الموجوده على الجهاز يمكن تصفحها واستعراضها من داخل المتصفح فايرفوكس نفسه ولكن نحن لن نستخدم هذه الاضافة الافتراضية في الفايرفوكس بسبب لدينا مجموعه من الادوات التي تمكننا من استعراض البيانات بشكل اكثر تنظيم واكثر ترتيب ويمكن الوصول الى المطلوب في وقت اسرع واحيانا هناك بعض الادوات التي يمكن من خلالها انشاء التقارير وعدد من الامور الاخرى .

Firefox Database Files

من المعروف ان اي مشروع برمجي يحمل نظامه الخاصه بقواعد البيانات التي يخزن معلوماته فيها  وتختلف نوع القاعده والنظام التي تعتمد عليه من مشروع برمجي الى اخر , متصفح الفايرفوكس يعتمد على قواعد بيانات SQLite لأرشفة البيانات , وسوف نقوم باستهداف قواعد البيانات الخاصه بالبرنامج للوصول الى المعلومات الخاصه بالمتصفح والتي تتضمن كل شئ تقريبا من ملفات الكاش والمفضلة والاعدادات الخاصه بالمتصفح وملفات التحميل .. الخ  .

اهم المعلومات التي نبحث عنها في الدليل :

  • Browser history
  • Cache
  • Downloaded files

طبعا هناك الكثير من المعلومات الاخرى المهمة وتختلف من قضية الى اخرى ولكن بشكل عام هذه اهم المعلومات التي يمكن ان تجدها في اي جهاز . المعلومات السابقة تخزن في مجموعة من قواعد sqlite , بعض الامثلة لبعض القواعد التي قد تجدها في المتصفح :

  • addons.sqlite
  • content-prefs.sqlite
  • cookies.sqlite
  • downloads.sqlite
  • extensions.sqlite
  • formhistory.sqlite
  • permissions.sqlite
  • places.sqlite
  • search.sqlite
  • signons.sqlite
  • formhistory.sqlite
  • db_queue.sqlite
  • webappsstore.sqlite

هذه امثلة لأسماء القواعد المتواجده في معظم الاصدارات وقد تختلف من اصدار الى اخر كذلك قد تزيد او تنقص بحسب نشاط المتصفح وايضا الاضافات , قد تحتاج احدى الاضافات الى قاعده بيانات خاصه بها لتنظيم البيانات والمعلومات سوف تجد القاعده بين القواعد السابقة . سوف اقوم بتصوير القواعد التي املكها بجهازي كمثال :

firefox database

كما تلاحظون هذه القواعد التي يحتويها المتصفح الخاص بي ,, يمكن للمحقق الجنائي ان يقوم بنسخها من المسار الخاص بالمتصفح الى جهازه عن طريق  نسخ ملف profile الذي يحتوي على جميع قواعد البيانات .

كنت ارغب بكتابة بعض اسماء القواعد وبعض الجداول التي تحتويها واهم البيانات التي قد تجدها ولكني لاحظت انها تختلف من اصدار الى اخر على حسب تطويرات المتصفح من شركة موزيلا على سبيل المثال هناك فرق كبير وملحوظ بين اصدار 16 وبين اصداري الحالي 31 واختلفت اماكن بعض الجداول لذلك سوف اذكر بعض البرامج والادوات التي تساعدنا على فتح القواعد وتصفحها وسوف اترك لك متعة الاكتشاف واستخراج البيانات .

ادوات مساعدة في استخراج البيانات :

هناك العديد من الادوات المتخصصه في تحليل نشاط المتصفحات التي تمكنا من استخراج البيانات بشكل سهل .

SQLite Manager

احد افضل الاضافات التي تعمل من داخل متصفح الفايرفوكس والتي تمكنا من تصفح قواعد sqlite الخاصه بالمتصفح :

sqlitemanger

بعض الامثلة لبعض القواعد والجداول المتوقعه :

content_perf

 

content_prefs.sqlite في هذه القاعده تجد بداخلها الاعدادات والتفضيلات الخاصة بالمتصفح وهي مكان جيد لمعرفه تفضيلات المتصفح والتغييرات التي قام بها المستخدم على اعدادات المتصفح .

 

cookies

 Cookies.sqlite في هذه القاعدة يتم تخزين جميع المعلومات الخاصة بالكوكيز الخاصه بالمتصفح ويمكن الاستفاده منها وتعد من اهم المعلومات التي تفيد المحقق الجنائي الرقمي ويمكن الدخول الى حسابات المستخدم من خلالها .

 

place

 

places.sqlite من اهم القواعد على الاطلاق والتي تحتوي على معلومات قيمة جدا مثل تاريخ التصفح , المفضلة , ايقونات المواقع favicons , المواقع التي تم زيارتها , الكلمات والمواقع التي تم زيارتها مباشرة من الشريط العلوي , والعديد من الجداول الاخرى .

 

formhisotry

 

Formhistory.sqlite هذه القاعدة مهمة جدا جدا تحتوي على اي بيانات تم التفاعل معها خاصة التي على شكل form يحمل مدخلات تقوم بادخالها على سبيل المثال قمت بارسال رساله من صفحه اتصل بنا على احد المواقع وكتبت الاسم والايميل والرسالة , سوف تخزن هذه المعلومات مع الاسم والايميل المدخلات في هذه القاعده , مثال اخر قمت بالدخول على مجتمع iSecur1ty وقمت بالتعليق على احد المقالات باسم احمد وايميل ahmed@email.com سوف تخزن هذه المعلومات في القاعده . كما تلاحظون في الصورة هناك سهم يشير الي معلومات من الظاهر انها لتصويت خاصة باحد المواقع ( بالفعل هو تصويت على مجتمع isecur1ty قمت بالمشاركه فيه ) تم حفظ معلومات التصويت على القاعده .

 

اداة  FoxAnalysis Plus

s_foxanalysis_timeline s_foxanalysis_cache

 

من اقوى الادوات المدفوعة والتي لها اصدار تجريبي بصلاحيات محدوده جدا يمكنك تجربتها .  الاداة قوية جدا وتملك مجموعه من المميزات الرائعه جدا واكثر ميزه رائعه وهي timeline Web History Timeline  تمكنك هذه الميزه بتصفح تاريخ التصفح بتسلسله الزمني الفعلي , على سبيل المثال قمت انا بالدخول على متجمع iSecur1ty ثم من داخل المجتمع ضغطت على رابط يوصلني لتويتر ومن تويتر ضغط على رابط موجود في تغريده يوصلني للفيس بوك ومن داخل الفيس بوك وجدت احد الفيديوهات ضغطت على الرابط فحولني الى اليتويب … الخ . سوف تظهر لك في الاداة تاريخ التصفح باسم كل موقع ورابطه بنفس التسلسل الزمني الذي تحدثت عنه . كذلك احد الميزات الرائعه وهي انشاء تقارير من داخل الاداة وكذلك محرك بحث متقدم يملك Filtering  قوي . يمكنك تصدير التاريخ والتقارير باستخدام HTML, CSV and XML .

ملاحظة :

يجب عليك معرفة لأحتراف عملية التحقيق الجنائي الرقمي الخاصة بالمتصفح بشكل عام يجب عليك فهم كيفية اليه عمل المتصفح كيف تعمل بالاخص cookies وكيف تخزن ,, وركز على تلك الكوكيز التي تتبع نشاط المتصفح وسلوك المتسخدم كتلك التي تزرع من العديد من الشركات في المتصفح , عملية استخراج البيانات ليست بالامر الصعب ولكن تحليل هذه البيانات وربطها مع بعضها البعض لخروج بصوره كاملة عن المستخدم وسلوكه على الانترنت وربما شخصيته التي يحملها هل هو مهتم بمجال معين مثل السياسة او الحماية والخصوصية والكثير من الامور تعرف عن طريق تحليل كل شئ .

مازال هناك الكثير من الادوات التي ارغب في الحديث عنها ولكني اكتفي بهذا القدر الاضافه الاولى sqlite manager اكثر من رائعه وتحمل خصائص رائعه ويمكن من تطبيق استعلامات sql والتحكم في القواعد بشكل كامل , اما للاشخاص الغير محترفين اداة  FoxAnalysis Plus تعتبر حل رائع لتحليل المتصفح ولكن تبقى الاحترافيه لمعرفة ادق التفاصيل في اضافة sqlite manager .