Google tarafından geliştirilen ücretsiz bir web tarayıcısıdır. Eylül 2008’de Microsoft Windows sürümü yayımlanmış; daha sonra Linux, macOS, iOS ve Android sürümleri de geliştirilmiştir.
Chrome artifacklerin genelde bulunduğu konum;
Windows : C:\Users\[USERNAME]\Appdata\Local\Google\Chrome
linux : /Home/$USER/.config/google-chrome/
MacOs : _/Users/$USER/Library/Application/Support/google/chrome/
windows işletim sisteminde chrome artifact analizini göstericem birçok yolu var ;
-Booksmarks : Bookmarks yani yer imleleri olarak oluşturduğumuz sık kullanılan web adreslerini analiz etmek için Bookmarks dosyasına bakabiliriz. Chrome Bookmarks kayıtlarını Json dosya formatında saklar
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Booksmarks
konumunda bulabiliriz.
parse etmek için bir notepad veya sublime Text kullanabiliriz.
-Cache : Chrome, geçmişte ziyaret edilen sitelerin görüntülerini ve içeriklerini tekrar tekrar indirmeyi önlemek için önbellek (cache) verilerini üç tür dosyada depolar: Dizin (Index), data_X, ve f_XXXXXX dosyaları. Data_X dosyaları, küçük boyutlu verileri saklamak için kullanılırken, daha büyük resimler veya içerikler f_XXXXXX dosyalarında depolanır. Bu dosyaların hepsi, cache klasörlerinin altındaki dizinlerde bulunur.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Cache
-Cache : Chrome, geçmişte ziyaret edilen sitelerin görüntülerini ve içeriklerini tekrar tekrar indirmeyi önlemek için önbellek (cache) verilerini üç tür dosyada depolar: Dizin (Index), data_X, ve f_XXXXXX dosyaları. Data_X dosyaları, küçük boyutlu verileri saklamak için kullanılırken, daha büyük resimler veya içerikler f_XXXXXX dosyalarında depolanır. Bu dosyaların hepsi, cache klasörlerinin altındaki dizinlerde bulunur.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Cache
konumunda bulabiliriz.
Bu dosyaları teker teker parse etmek yerine Browser History Viewer toolunu kullanarak toplu şekilde parse edebiliriz.
-Cookies : web siteleri tarafından kullanıcı bilgilerini ve tercihlerini saklamak için tarayıcılara kaydedilen küçük veri dosyalarıdır.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies
konumunda bulabiliriz.
Cookies dosyasını parse etmek için DB Browser for SQLite toolunu kullanabiliriz.
-Favicons : web sitelerinin tarayıcı sekmesinde görünen küçük simgeleridir.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Favicons
konumunda bulabiliriz.
Favicons dosyasını parse etmek için DB Browser for SQLite toolunu kullanabiliriz.
-Form geçmişi :kullanıcıların web sitelerinde doldurdukları form verilerinin (örneğin, ad, adres, arama terimleri) tarayıcı tarafından kaydedilen geçmişini ifade eder. Bu geçmiş, kullanıcı deneyimini iyileştirmek için form alanlarının otomatik doldurulmasında kullanılır.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Web Data
-Form geçmişi :kullanıcıların web sitelerinde doldurdukları form verilerinin (örneğin, ad, adres, arama terimleri) tarayıcı tarafından kaydedilen geçmişini ifade eder. Bu geçmiş, kullanıcı deneyimini iyileştirmek için form alanlarının otomatik doldurulmasında kullanılır.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Web Data
Form geçmişi dosyasını parse etmek için DB Browser for SQLite toolunu kullanabiliriz.
-Logins : Web tarayıcılarında kullanıcıların giriş yaptığı siteler için kaydedilen kullanıcı adı ve şifre bilgilerini ifade eder. Bu veriler, otomatik giriş sağlamak ve kullanıcı hesaplarının adli analizinde kullanılmak üzere Login Data adlı bir SQLite veritabanı dosyasında saklanır.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Login Data
-Thumbnails: Web tarayıcılarında ziyaret edilen sayfaların küçük önizleme resimleridir. Bu görüntüler, tarayıcının ana sayfasında veya geçmiş sayfasında hızlıca sayfaları tanımak için kullanılır.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\Top Sites
konumunda bulabiliriz.
Top Sites dosyasını parse etmek için DB Browser for SQLite toolunu kullanabiliriz.
-History : Web tarayıcısında ziyaret edilen web sitelerinin listesidir. Kullanıcıların geçmişte hangi sayfaları ziyaret ettiğini ve ne zaman ziyaret ettiğini kaydeder. bir veritabanı dosyasıdır, veritabanında bulunan dosyalar downloads, presentation, urls, keyword_search_terms, segment_usage, visits, meta, segments, cache.
C:\Users\[USERNAME]\AppData\Local\Google\Chrome\UserData\Default\History
Download : Chrome indirilen geçmişleri SQLite veritabanında “History” dosyasındaki downloand table içerisinde tutmaktadır.
Searches : Chrome aramaları “History” SQLite veritabanı dosyasındaki “Keyword_serach_terms” tablosunda tutar. İlişkili url bilgilerini de görebiliriz.
Website visits : Chrome Web sitesi ziyaretlerini “History” SQLite veritabanı dosyasındaki “visits” tablolarında tutar. İlişkili url bilgilerini “url” tablosunda tutar.
URLS : urls tablosu, Chrome için temel tarama geçmişini içerir. Bu, ziyaret edilen tüm URL’ler için tek bir örnek, son ziyaret edilen zaman için bir zaman damgası ve ziyaret edilenlerin sayısı için bir sayaç içerecektir.
Visit : web sayfalarının ziyaret tarihlerini ve saatlerini kaydeder. Her bir ziyaret, belirli bir URL ile ilişkilidir ve bu ziyaretler Visit tablosunda ayrı ayrı kayıtlar olarak saklanır.
Visit_Source : ziyaretlerin hangi kaynaktan veya yöntemle yapıldığını belirtir. Örneğin, visit_source doğrudan ziyaretler, yönlendirmeler, arama motorları, form gönderimleri veya yer imlerinden yapılan ziyaretleri gösterebilir.
Görüldüğü gibi hepsiyle tek tek uğraşmak yorucu ve zaman kaybı olabiliyor işte tam bu zamanda işimize yarayacak olan HİNDSİGHT BROWSER FORENSİCS toolu olacaktır.
Toolumuza çift tıklıyoruz ve cmd ekranı açılıyor.
tarayıcımıza http://localhost:8080/ adresine gidiyoruz.
Karşımıza böyle bir sayfa çıkıyor ;
Profile Path : Bu alana, tarayıcı profili dosyalarının bulunduğu dizinin yolunu giriyorsun. Genellikle C:\Users\[Kullanıcı Adı]\AppData\Local\Google\Chrome\User Data\Default yolundadır
Cache Path : Bu alana, önbellek dosyalarının saklandığı dizinin yolunu giriyorsun. Genellikle C:\Users\[Kullanıcı Adı]\AppData\Local\Google\Chrome\User Data\Default\Cache
Gerekli yerleri girdikten sonra run kısmına tıklıyoruz.
Web Browser Forensics ( Google Chrome ) Anlatım Videosu : https://www.youtube.com/watch?v=1ZDDSXmwsGM
0 Yorumlar