Módulo 4 - Navegadores

Navegadores de Internet
Gustavo Pinto Vilar

Perito Criminal Federal
 gustavopintovilar@gmail.com
PRINCIPAIS TÓPICOS
 HISTÓRICO DA INTERNET
 COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET
 PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS
 WEB, DEEP WEB E DARK WEB
 ANÁLISE DE SÍTIOS DE INTERNET
 ANÁLISE DE E-MAILS
 ANÁLISE DE NAVEGADORES DE INTERNET
 REDES SOCIAIS e ANONIMIZADORES
 MOEDAS DIGITAIS (PLUS)

Que evidências podem
ser encontradas?
Quais sítios Pastas de Sites
foram visitados?
Histórico Cache Cookies
recuperação sugeridos
Quantas vezes
um sítio foi Histórico Cookies
visitado?
Quando um
Pastas de
sítio foi Histórico Cookies Cache
visitado? recuperação
Quais sítios
foram salvos Favoritos
pelo Usuário
Foi feito
Pasta de
download de Cache
algum arquivo? Downloads
Podem ser
identificados Auto- Pastas de
nomes de
Cookies Cache
completar recuperação
usuários
Pelo que o
Auto-
usuário estava Cache
procurando? completar
Fonte: SANS
Navegadores de Internet
Embora exista uma grande quantidade de artefatos
relacionados a navegadores de Internet, as fontes de
informação mais relevantes são:
– Histórico
– Cache de navegação
– Cookies
Navegadores mais utilizados
Internet Explorer (IE)
Utilizado como padrão, pois muitos conceitos utilizados

pelo Internet Explorer aplicam-se também ao Google
Chrome e Mozilla Firefox.
10, Server 8.1, Server 8, Server 7, Server Vista, Server
Ano Server 2003 XP
2016 2012 R2 2012 2008 R2 2008
Edge 2015 Incluído - - - - - -
Sim,
IE 11 2013 Incluído Incluído - - - -
com SP1
Sim, com
IE 10 2012 - - Incluído - - -
SP1
IE 9 2011 - - - Sim Sim, com SP2 - -
Sim, com Sim, com

IE 8 2009 - - - Incluído Sim
SP2 SP2/SP3
Sim, com Sim, com

IE 7 2006 - - - - Incluído
SP1/SP2 SP2/SP3
IE 6 2001 - - - - - Incluído Incluído
Principais versões
– IE6 e IE7 – sistemas desatualizados (Windows XP)
– IE8 – lançada em 2009; padrão no Windows 7
– IE9 – lançada em 2011
– IE10 – lançada em 2012; padrão no Windows 8
– IE11 – lançada em 2013, com o Windows 8.1
– Edge – lançada em 2015, com o Windows 10
Perfis de Usuário (User Profiles)
Com o Windows Vista, foi modificada a estrutura de pastas
relacionadas aos perfis de usuário (user profiles), sendo
deixado claro o que segue o usuário e o que não segue.
– Roaming profiles – cookies
– Local profiles – cache
Modo Protegido (Protected Mode)
Outra grande mudança implementada a partir do Windows
7 foi a utilização do modo protegido. Esse modo separa a
área de navegação em uma área com poucos privilégios
(Low) e outra área com privilégios médios/altos. Exemplo:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\Low\His
tory.IE5
Isso significa olhar em duas áreas distintas:
– Área padrão (privilégios médios/altos)
– Área com baixos privilégios (Low), utilizada por padrão
Exceções da utilização do modo protegido:
– Utilização/acesso de arquivos locais
– Se o modo protegido for desabilitado
– Se User Access Control (UAC) for desabilitado
– Se o IE for executado com permissões de administrador
Localização dos arquivos
Dois tipos de dados:
– Armazenamento (storage) – arquivos de cache ou cookies
armazenados no computador
– Metadados (metadata) – armazenas os metadados dos
registros (ex: o arquivo no cache ou cookie está associado a
qual URL; quando o acesso a uma URL ocorreu)
Até o Windows Vista, por 10 anos, a localização dos
arquivos foi mantida a mesma (mantendo inclusive a
referência IE5).
– Histórico - %USERPROFILE%\Local Settings\History\History.IE5
– Cache - %USERPROFILE%\Local Settings\Temporary Internet
Files\Content.IE5
– Cookies - %USERPROFILE%\Cookies
– Bookmarks - %USERPROFILE%\Favorites
Fonte: http://msdn.microsoft.com/en-us/library/bb250462.aspx
Localização dos arquivos no IE8 e IE9 (Windows Vista+)
Informação Localização
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\Hi
story.IE5
Histórico
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\Lo
w\History.IE5
%USERPROFILE%\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Content.IE5
Cache
%USERFROFILE%\AppData\Local\Microsoft\windows\Temporary
Internet Files\Low\Content.IE5
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
Cookies %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies\
Low
Histórico de %USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownlo
Download adHistory\
Internet Explorer
• Index.dat
– Localização:
• Windows XP
c:\documents and settings\user\local settings\temporary
internet files\
• WebcacheV01.dat
• Windows 7 e superiores
c:\Users\user\AppData\Local\Microsoft\Windows\Webc
ache
CHAVES E VALORES RELACIONADOS AO
INTERNET EXPLORER (EXEMPLOS)
Do arquivo NTUSER.DAT ou USER.DAT de um

usuário específico podemos obter:
Software\Microsoft\Internet Explorer\Typed URLs

=> Barra de endereços do browser
\Software\Microsoft\Internet Explorer\Intelliforms
=> Senhas do autocompletar criptografadas.
\Software\Microsoft\Protected Storage System Provider
=> Páginas onde foi utilizada a função de autocompletar.

Do hive SOFTWARE podemos obter:
Software\Microsoft\Windows\CurrentVersion\
Internet Settings\URL History
=> Informa por quantos dias o histórico é mantido
e a pasta onde está armazenado.

COOKIES
C:\Users\[User Name]\AppData\
Roaming\Microsoft\Windows\Cookies
C:\Users\[User Name]\AppData\Roaming\
\Microsoft\Windows\Cookies\Low
Arquivos Index.dat
– Da versão 4 até a 9, a maioria das informações era
armazenada em arquivos “Index.dat”, tais histórico, cookies,
cache, histórico de download, etc.
– Registros apagados podiam ser recuperados.
– Formato binário mantido o mesmo desde a versão 4
– Difíceis de serem apagados pelo usuário, pois sempre
estavam em uso e bloqueados (IE permite apagar)
Horários do histórico nos arquivos Index.dat
A estrutura do Index.dat apresenta dois campos de tempo para cada
registro:
– Index.dat presente na pasta History.IE5: LastAccess (UTC);
LastAccess (UTC)
– Index.dat presente nas pastas de Histórico Diário: LastAccess
(Local); LastAccess (UTC)
– Index.dat presente nas pastas de Histórico Semanal: LastAccess
(Local); Index.dat creation time (UTC)
Localização dos arquivos no IE10 (Windows Vista+)
Histórico,
metadados de %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
cache e de \WebCacheV*.dat
cookies
%USERPROFILE%\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Content.IE5
Cache
Temporary Internet Files\Low\Content.IE5
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\Cookies
Cookies
\Cookies\Low
Histórico de %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
Download \WebCacheV*.dat
Com o IE10, ao invés de diversos arquivos “Index.dat”
distribuídos em várias pastas, os metadados foram
consolidados em arquivos com o nome “WebCacheV*.dat”.
A pasta utilizada para armazenar esse banco de dados:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\
Internet Explorer (IE) / Edge
Localização dos arquivos no IE11
Histórico,
metadados de %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
cache e de \WebCacheV*.dat
cookies
INetCache\IE
Cache
INetCache\IE
\INetCookies
Cookies
\INetCookies\Low
Histórico de %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
Download \WebCacheV*.dat
Com o IE11, o armazenamento dos metadados foi mantida
nos arquivos “WebCacheV*.dat”.
As pastas utilizadas para armazenar os arquivos de cache
e cookies mudaram para INetCache e INetCookies.
A localização da pasta INetCookies foi alterada para
“Local” do perfil do usuário (estava em “roaming”).
O arquivo mais importante, a partir do IE 10, é o
“WebCacheV*.dat”, localizado em:
%USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
Apresenta vários nomes:

– WebCacheV01.dat
– WebCacheV16.dat
– WebCacheV24.dat
Arquivos WebCacheV*.dat
– Consolida grande quantidade de dados armazenados anteriormente em
vários arquivos Index.dat
– Utiliza o formato Extensible Storage Engine (ESE). Esse é o mesmo
formato utilizado pelo Exchange e Windows Search.
– Existem arquivos “container.dat" em pastas familiares tais como
"History.IE5", "Temporary Internet Files", e "Content.IE5“, mas todos
metadados desses arquivos foram movidos para o arquivo
WebCacheV*.dat.
– A base de dados pode estar em dois estados: “Dirty Shutdown” ou “Clean
Shutdown”
– Como exemplo, para consultar o estado da base de dados
“WebCacheV01.dat”, pode ser executado o comando:
esentutl /mh WebCacheV01.dat
– O estado “Dirty Shutdown” pode impedir que algumas ferramentas
possam acessar os registros nessa base de dados.
– Para corrigir esse estado no arquivo “WebCacheV01.dat”, por exemplo,
deve ser executado o comando:
esentutl /r V01 /d
– A opção “/d” utiliza apenas os arquivos de Log na pasta atual
Exercícios
Exercício
1) Copiar o arquivo WebCacheV01.dat, localizado na pasta
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache, para a pasta
c:\TEMP
2) Verificar o estado da base de dados
3) Se ela estiver em estado “Dirty”, corrigir e verificar novamente
Resolução
c:\TEMP. Como o arquivo está bloqueado, pode ser utilizado o FTK Imager, por
exemplo
2) Verificar o estado da base de dados. esentutl /mh WebCacheV01.dat
3) Se ela estiver em estado “Dirty”, corrigir e verificar novamente. esentutl /r
V01 /d
Tabelas dos arquivos WebCacheV*.dat
– AppCache_n – MSysLocales
– AppCacheEntry_n – MSysObjects
– Container_n – MSysObjectsShadow
– DependencyEntry_n – MSysObjids
– HstsEntry_n – Partitions
– LeakFiles
– Os artefatos presentes nos arquivos WebCacheV*.dat são divididos em
diferentes tabelas de containers (Container_n).
– Cada container pode ser identificado utilizando a tabela “Containers”,
presente nesse banco de dados, e que funciona como um índice das
tabelas de artefatos.
Histórico
– Excelente para analisar o perfil do usuário
– Os registros dos sítios visitados são armazenados com data e horário
• Os detalhes são registrados para cada conta de usuário
• Registra o número de visitas
• Também armazena o acesso a arquivos locais
– Utilizado pelo navegador para autocompletar
Histórico
– Armazenado em diversos arquivos Index.dat (IE4-IE9) ou no arquivo
WebCacheV*.dat (IE10+)
– A chave do registro do SO determina o tempo em que os registros são
armazenados:
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\URL History
– Facilmente manipulado/limpo pelo usuário
Histórico
Pode fornecer as seguintes informações:
– Quais sítios o usuário visitou nos últimos X dias (X é o número de dias
em que o histórico é armazenado)
– Quais arquivos foram acessados nos últimos X dias
– A conta do usuário utilizada para acessar o sítio
– A data e horário em que houve a última visita a um sítio
– Quantas vezes cada sítio foi visitado
Histórico
Nas versões IE5-9, o Sistema Operacional mantinha arquivos de histórico
nos arquivos Index.dat, armazenadas em pastas com o nome no seguinte
formato:
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
Assim, a pasta “MSHist012017092320170930” se refere ao histórico entre

23/09/2017 e 30/09/2017.
Histórico
Nas versões IE5-9, o Sistema Operacional mantinha arquivos de histórico
nos arquivos Index.dat, armazenadas em pastas com o nome no seguinte
formato:
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
Assim, a pasta “MSHist012017092320170930” se refere ao histórico entre

23/09/2017 e 30/09/2017.
Histórico
Os principais campos presentes nas tabelas Container_n:
– Data de modificação (ModifiedTime) – fornece a data e horário da
primeira vez que um objeto foi criado.
– Data de acesso (AccessedTime) – fornece a data e horário em que o
objeto foi acessado pela última vez.
– Quantidade de acessos (AccessCount) – registra o número de vezes em
que um objeto URL foi acessado. Algumas vezes é inconsistente.
– URL – é o recurso sendo rastreado.
Histórico
Uma informação importante é que o Histórico não registra apenas navegação
da Internet. Ele registra também o acesso a arquivos locais e remotos
(mesmo que não tenham sido acessados pelo navegador).
Exercício
c:\TEMP
Ferramentas
Histórico de navegação
– A ferramenta NirSoft BrowsingHistoryView permite acessar
informações de histórico de navegação dos aplicativos Internet
Explorer, Mozilla Firefox, Google Chrome e Safari.
Ferramentas
Ferramentas
– A ferramenta NirSoft
BrowsingHistoryView permite
selecionar qual navegador será
analisado bem como apresenta
diversas outras opções para
seleção dos dados (F9).
Conta Microsoft
Se um usuário logar em um computador com uma conta da Microsoft e
utilizar o Edge, todos os dispositivos irão sincronizar o histórico de
navegação.
Assim, é difícil analisando apenas o banco de dados para saber qual
computador foi utilizado para navegação. Assim, saber o computador
utilizado pelo usuário no momento em que o sítio foi acessado é muito
importante.
Navegação InPrivate
Segundo a Microsoft (https://privacy.microsoft.com/pt-BR/windows-10-
microsoft-edge-and-privacy):
“Quando você usa o Microsoft Edge no modo InPrivate, as informações de
navegação, como cookies, histórico e arquivos temporários, não são salvas
no seu dispositivo após o encerramento da sua sessão de navegação.”
Navegação InPrivate
Pode ser recuperada a última sessão de navegação se ela foi InPrivate:
C:\Users\uuuuu\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\AC\
MicrosoftEdge\User\Default\Recovery\Active\yyyyyy.dat
Onde:
uuuuu – nome do usuário
xxxxx – código aleatório
yyyyy – identificador GUID da sessão (ex: {663CF6A7-74FB-4DC6-857D-
DAA87D8637C1}
Cache
– É o local onde são armazenados os componentes de páginas
de Internet gravados localmente para agilizar as visitas
subsequentes.
– Fornece provas do que o usuário estava acessando em um
determinado momento
– O tamanho padrão do cache é de 250MB, limitado a
aproximadamente 60.000 itens
Cache
Fornece provas do que o usuário estava acessando em um
determinado momento:
– Sítios que estavam sendo acessados
– Arquivos que o usuário visualizou em determinado sítio
– O cache é vinculado a um determinado usuário
– São registrados quando o sítio foi salvo pela primeira vez e
visualizado pela última vez
Cache
Pastas de cache: IE5-IE9 IE10+
Temporary
INetCache
Internet Files
Content.IE5 IE
• IEYFMNCP • 4KD85H0Q
• UIQWMVNT • MFAD2Q94
• H83J6CVT • LA74C03Y
• 7YTMADQP5 • 9U2K33B3
Cache
Os arquivos de cache são renomeados, sendo inserido um
sufixo apresentando “[n]”, onde n é a enésima cópia do arquivo
com o referido nome, para evitar colisão de nomes.
Cache
Até o IE9, o arquivo Index.dat é fundamental para reconstrução do cache:
– registra a URL visitada
– identifica o path do arquivo salvo e a referência dele na URL
– armazena no campo Type o motivo da existência daquele registro:
• URL – indica que uma URL foi acessada em um pedido normal
• LEAK – falha em apagar o arquivo de cache em virtude do arquivo estar
bloqueado
• REDR – página visitada, causando um redirecionamento (não salvo no cache)
• HASH – um índice de hash do conteúdo do cache
Cache
– Cabeçalhos HTTP (request e response)
– Informações de datas e horários
Cache
Principais campos na tabela de cache:
– FileName – nome do arquivo no disco (inclusive com [n])
– FileSize – tamanho do arquivo no disco
– SecureDirectory – índice da pasta onde o arquivo está salvo no
disco (resultado do campo SecureDirectories)
– AccessCount – número de vezes que o arquivo de cache foi
utilizado pelo navegador
– URL – identifica a origem de cada arquivo de cache
Cache
– CreationTime (só existe no WebCacheV*) – momento de criação do
arquivo de cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o
conteúdo do cache foi visualizado pelo usuário (UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o
conteúdo foi modificado no servidor de arquivos (UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para
identificar entradas muito antigas no cache (UTC)
– CreationTime (só existe no WebCacheV*) – momento de criação do arquivo de
cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o
conteúdo do cache foi visualizado pelo usuário (UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o conteúdo
foi modificado no servidor de arquivos (UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para identificar
entradas muito antigas no cache (UTC)
– Last Checked (só existe no Index.dat) – quando um arquivo é requisitado, o
navegador compara com a última versão no sítio
Ferramentas
Cache de navegação
– A empresa NirSoft desenvolveu várias ferramentas para acesso de
informações presentes no cache de navegação dos seguintes
navegadores:
• IE – IECacheView
• Mozilla Firefox – MZCacheView
• Google Chrome – ChromeCacheView
• Ópera – OperaCacheView
• Safari – SafariCacheView
Ferramentas
Cache de navegação
Cookies
Existem dois tipos:
– Persistentes – ficam gravados no disco
– Sessão – ficam apenas em memória e são mantidos apenas
durante a sessão de navegação
Cookies
– Pequenos arquivos de texto (<4KB) que registram
informações selecionadas pelos desenvolvedores do sítio
– Podem fornecer as seguintes informações:
• Sítio acessado
• Conta do usuário que acessou o sítio
• Datas e horários de criação, modificação e último acesso dos
arquivos de cookies (mantidos no sistema de arquivos)
• Outros dados presentes no cookie
Cookies
Várias atualizações no IE e no Windows modificaram o funcionamento dos
cookies:
– Windows 7 criou as pastas “Low”
– IE 9.0.2 passou a utilizar nomes pseudo-aleatórios nos cookies
– Windows 8.1 passou a utilizar a pasta para armazenar os cookies
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies (era
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies )
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– FileName – nome do arquivo do cookie no disco
– URL – endereço do sítio que gerou o cookie. A conta local do usuário que gerou o
cookie é armazenada como parte da URL (ex: Maria@barbie.com)
– AccessCount (anteriormente chamada de Hits) – indica o número de vezes que o
cookie foi utilizado pelo sítio
– CreationTime (apenas no WebCacheV*.dat) – a primeira vez que o cookie foi
salvo no disco
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– ModifiedTime – última vez em que o sítio fez modificações no cookie ou quando
ele foi criado. Registrado em UTC
– AccessedTime – indica a última vez em que o cookie foi enviado ao sítio que o
originou
– ExpiryTime – indica o momento, registrado no cookie pelo sítio que o criou, em
que o cookie não será mais considerado válido. Registrado em UTC
– Last Checked (apenas no Index.dat) – indica a última vez em que o cookie foi
checado se estava expirado (ExpiryTime)
Ferramentas
Cookies
– A empresa NirSoft desenvolveu várias ferramentas para acesso de
informações presentes nos cookies de navegação do IE, Mozilla
Firefox e cookies criados por componentes Flash:
• IE – IECookiesView
• Mozilla Firefox – MZCookiesView
• Flash – FlashCookiesView
Ferramentas
Cookies
Aplicações Modernas (Modern Applications)
– A partir do Windows 8, a Microsoft criou a possibilidade de
utilização das denominadas “Modern Applications”.
– São locais, armazenados em subpastas da pasta
“%USERPROFILE%\AppData\Local\Packages\” (ex: Twitter -
“%USERPROFILE%\AppData\Local\Packages\9E2F88E3.Twi
tter_wgeqdkkx372wm\AC\INetCache”)
Download
– O local padrão para salvar um arquivo que é baixado (feito
download) pelo navegador é o valor “Download Directory”,
localizado na chave “NTUSER\Software\Microsoft\Internet
Explorer”
– Por padrão, o dado é “%USERPROFILE%\Downloads” (até o
Windows XP, era “%USERPROFILE%\Desktop”)
Download
– A partir da versão 9, o IE passou a utilizar um gerenciador de
downloads completo.
– As informações de download passaram a ser armazenadas
no registro, na chave “%USERPROFILE%\AppData\Roaming
\Microsoft\Windows\IEDownloadHistory\”
Download
São armazenadas as seguintes informações:
– Nome do arquivo
– Tamanho do arquivo
– URL de origem
– URL
– Destino do download
– Tempo de download
Download
Os registros podem ser apagados pelos usuários de diversas
formas:
– Selecionados individualmente e removidos pelo botão “X”
– Toda lista pode ser limpa através do botão “Limpar lista”
– No menu “Opções de Internet” do IE, existe uma opção para
apagar o histórico de downloads
Download
Como os cabeçalhos são salvos em formato Hexadecimal, podem ser
convertidos para obtenção da URL. Para isso podem ser utilizados:
– https://www.branah.com/ascii-converter
– Extensão para Firefox LeetKey
– Plugin Hex Conversion para Notepad++
O acesso ao cabeçalho e da URL pode permitir, por exemplo, a
identificação de senhas utilizadas para abertura de arquivos cifrados
Auto-completar
Na chave “NTUSER\Software\Microsoft\Internet Explorer\TypedURLs”
do registro do Windows são armazenados os últimos 25 endereços
digitados pelo usuário no IE9 e, a partir do IE10, são registrados os
últimos 50 endereços.
Esses registros indicam que o usuário ativamente quis acessar
determinada URL, pois não são gravados os cliques em endereços,
mas apenas o que efetivamente o usuário digitou
Auto-completar
–
Auto-completar
O IE10 também registra a última vez em que a URL digitada foi
utilizada, salvando essas informações na chave do registro
“NTUSER\Software\Microsoft\Internet Explorer\TypedURLsTime”
Auto-completar
Auto-completar
Favoritos
Fornece uma perspectiva dos interesses do usuário do computador
Informações que podem ser obtidas:
– Conta do usuário
– URL
– Título da página
– Data de criação e de último acesso
Cuidado: nem todo link registrado como Favorito foi criado pelo
usuário
Favoritos
São criados arquivos de atalho de Internet (extensão .url) na pasta
“%USERPROFILE%\Favorites”
Favoritos
Ferramentas
Favoritos
A ferramenta NirSoft FavoritesView permite a consulta aos favoritos
do Internet Explorer e do Mozilla Firefox.
Pastas de Recuperação (Recovery Folders)
– A partir do IE8, são salvas a última sessão (e a atual, se um crash
ocorreu) em uma pasta de Recuperação
– Essa pasta é habilitada por padrão e é apagada quando o Histórico
é limpo
– Permite identificar
• Histórico de sítios abertos (em cada aba)
• Momento em que a sessão começou e terminou
• HTML, JavaScript e XML da página
• Informações de formulários
– As informações de início e fim são obtidas da seguinte forma:
• Data e horário de criação dos arquivos .dat na pasta “Active” indicam o
início da sessão
• Data e horário de criação dos arquivos .dat na pasta “LastActive” indicam
o fim da sessão
– Essa funcionalidade pode ser desabilitada via GPO ou alterando

para “1” o valor “NoReopenLastSession”, presente na chave
“HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery”
A localização da pasta de recuperação, no Windows XP (apenas
para o IE8, pois o IE9 não é executado no XP):
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/Active
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/LastActive
A localização da pasta de recuperação, no Windows 7, 8 e 10:
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Active (Sessão atual)
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Last Active (Última Sessão)
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Immersive/Active (Sessão atual -
Modern IE Application)
– %USERPROFILE%/AppData/Local/Microsoft/Internet Explorer/Recovery/Immersive/Last Active (Última
Sessão - Modern IE Application)
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/High/Active
(Sessão atual – Alta Permissão)
– %USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer/Recovery/High/Last Active
(Última Sessão - Alta Permissão)
Ferramentas
Pasta de Recuperação do IE (Recovery Folder)
– A ferramenta Mitec Structured Storage Viewer permite a análise
dos arquivos .dat presentes na pasta de Recuperação do IE.
– Esses arquivos estão em formato Structure Storage, que é uma
forma de armazenar várias informações (ou fluxos de dados) em
um único arquivo.
– No exemplo no próximo slide, existia apenas
Ferramentas
Pasta de Recuperação do IE (Recovery Folder)
Senhas armazenadas no IE
– A partir do IE10, o Windows armazena, as credenciais (nome
de usuário e senha) de acesso a sítios de Internet em um
sistema denominado “Windows Vault”, uma espécie de cofre
dos dados.
Os dados armazenados são separadas em dois tipos:
– Usuário
• %USERPROFILE%\AppData\Local\Microsoft\Vault\{GUID}
• %USERPROFILE%\AppData\Roaming\Microsoft\Vault\{GUID}
– Sistema
• \Windows\System32\config\systemprofile\AppData\Local\Vault\{G
UID}
• \Windows\System32\config\systemprofile\AppData\Roaming\Vault\
{GUID}
– Essas informações estão cifradas com as credenciais de
acesso do Windows (nome de usuário e senha do SO)
– Se essas credenciais do SO são conhecidas, a forma mais
fácil de recuperar esses dados é através da execução de uma
ferramenta, tal como a NirSoft WebBrowserPassView, em
uma máquina virtual.
– Se as credenciais não forem conhecidas, será necessária a
utilização de aplicativos de quebra de senha
Ferramentas
Senhas armazenadas no IE, Firefox e Chrome
– A ferramenta NirSoft WebBrowserPassView permite acessar
informações de usuários e senhas de diversos navegadores de
Internet.
Ferramentas
Senhas armazenadas no IE, Firefox e Chrome
Internet Explorer (IE) / Edge
Revisão
Artefato Localização
Histórico WebCacheV*.dat ou Histórico no Index.dat
Cache WebCacheV*.dat ou Cache no Index.dat
Cookies WebCacheV*.dat ou Cookies no Index.dat
Favoritos Arquivos .url
Histórico de
WebCacheV*.dat ou IEDownloadHistory Index.dat
Download
URLs
Registro
digitadas
Auto-
WebCacheV*.dat ou Histórico no Index.dat
completar
Senhas de
Área protegida
Internet
Edge Browser
• Novo navegador da Microsoft
• Semelhante ao IE10, não grava mais dados no index.dat, grava
principalmente em bancos de dados EDB
• Configurações do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\
AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\xxxxx\DBStore\spar
tan.edb
• Cache do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\A
C\#!001\MicrosoftEdge\Cache\
• Última sessão ativa do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\A
C\MicrosoftEdge\User\Default\Recovery\Active\
Histórico EDGE
• Arquivo de histórico:
– \Users\user_name\AppData\Local\Microsoft\Windows\W
ebCache\WebCacheV01.dat
• Na verdade trata-se de um banco de dados .EDB

• Pode ser analisado através das ferramentas EseDbViewer
ou ESEDatabaseView
• Arquivo sujo (não desmontado corretamente): usar o
esentutl.exe
• Nesse arquivo também são gravados os Cookies
Mozilla Firefox
Mozilla Firefox
Informações sobre o navegador
– O Firefox é um navegador de código aberto e presente em diversas
plataformas (Windows, Linux e MacOS)
– Apresenta os mesmos artefatos do IE:
• Histórico
• Cache
• Cookies
• Favoritos
Mozilla Firefox
Informações sobre o navegador
– O Firefox facilita o trabalho do perito em alguns aspectos e dificulta
em outros:
• Não existem entradas no registro
• Os arquivos estão localizados de forma centralizada
• As bases de dados são complexas e necessitam de aplicativos para
serem interpretadas
Mozilla Firefox
Versões
– Versão 1.5 – lançado em 2005 e dificilmente é encontrado
– Versão 2 – lançado em 2006 e dificilmente é encontrado
– Versão 3 – lançado em 2008
– A partir da Versão 4 – passou a adotar um acelerado processo de
novas versões (a versão atual é a 56)
Mozilla Firefox
Sistema
Artefato Localização
Operacional
Histórico,
cookies, %USERPROFILE%\Application Data\Mozilla\
Favoritos e Firefox\Profiles\<número_aleatório>.default\
Windows
Autocompletar
XP
%USERPROFILE%\Local Settings\Application
Cache Data\Mozilla\Firefox\Profiles\<número_aleató
rio>.default\Cache
Histórico,
cookies, %USERPROFILE%\AppData\Roaming\Mozilla\
Windows Favoritos e Firefox\Profiles\<número_aleatório>.default\
Vista+ Autocompletar
%USERPROFILE%\AppData\Mozilla\Firefox\Profil
Cache
es\<número_aleatório>.default\Cache
Mozilla Firefox
Formato dos arquivos de dados (SQLite)
– Base de dados baseado no SQL
– As bases de dados mais importantes são:
• Places.sqlite – histórico, favoritos, auto-completar e downloads
• Formhistory.sqlite – dados de auto-completar formulários
• Cookies.sqlite – cookies
• Signons.sqlite – nomes de usuários e senhas
• Webappsstore.sqlite – armazenamento HTML5
• Extensions.sqlite – extensões
– O cache é o único grande artefato não armazenado em SQLite

Mozilla Firefox
Histórico
– O Firefox mantém um maior registro de histórico de navegação que
o IE. Os principais campos, gravados na tabela “places.sqlite”, são:
• URL – endereço acessado
• Title – título da página
• Visit_count – quantidade de vezes que o sítio foi acessado
• Typed – se foi o usuário que digitou o endereço ou foi acessado por um
link
• Last_visit_date – data e horário da última visita
• Hidden – a página foi acessada com alguma ação do usuário ou não
Ferramentas
– A ferramenta NirSoft BrowsingHistoryView permite acessar
informações de histórico de navegação dos aplicativos Internet
Explorer, Mozilla Firefox, Google Chrome e Safari.
Ferramentas
Mozilla Firefox
Cache
– O Firefox utilizou a mesma estrutura de cache até a versão 32. Até
a versão 31, a base de dados utilizada era muito complicada, e é
mais seguro utilizar alguma ferramenta especialmente criada para
essa finalidade.
– A partir da versão 32, o Firefox passou a adotar uma
implementação mais simples.
Mozilla Firefox
Cache
– Até a versão 31 no Windows XP, os dados eram encontrados na
pasta “%USERPROFILE%\Local Settings\Application Data\Mozilla\
Firefox\Profiles\<número_aleatório>.default\Cache”.
– Em computadores com Windows Vista ou superior, na pasta
“%USERPROFILE%\AppData\Mozilla\Firefox\Profiles\<número_ale
atório>.default\Cache”.
Mozilla Firefox
Cache
– A partir da versão 32, os dados podem ser encontrados na pasta
“%USERPROFILE%\AppData\Local\Mozilla\Firefox\Profiles\<númer
o_aleatório>.default\cache2”
Mozilla Firefox
Cache
– Os principais metadados armazenados, a partir da versão 32, são:
• URL – endereço de onde o conteúdo foi obtido
• Fetch count – quantas vezes o conteúdo foi acessado
• Filename – nome do arquivo
• Content Type – tipo do arquivo (jpg, gif, JavaScript, etc)
• File size – tamanho do arquivo
• Last Modified Time – última vez em que o conteúdo foi armazenado no
cache
• Last Fetched Time – última vez em que o conteúdo foi utilizado do cache
Mozilla Firefox
Cookies
– Até a versão 2, o Firefox gravava as informações de cookies no
arquivo “cookies.txt”
– A partir da versão 3, as informações relacionadas a cookies são
armazenadas, pelo Firefox, no arquivo “cookies.sqlite”.
– Não são mantidos, como no IE, arquivos individuais. O Firefox
armazena todas as informações na referida tabela.
Mozilla Firefox
Cookies
– Os principais metadados armazenados são:
• BaseDomain – domínio de onde originou-se o cookie
• Name – nome do atributo
• Value – valor do atributo
• lastAccessed – data e horário do último acesso ao cookie
• creationTime – data e horário de criação do cookie
• isSecure – o cookie foi gerado em um a conexão segura?
Mozilla Firefox
Downloads
– Da versão 3 até a versão 25, as informações de download eram
armazenadas no arquivo SQLite denominado “downloads.sqlite”.
– A partir da versão 26, o Firefox passou a armazenar os registros
dos arquivos que foram baixados (download) na base de dados
SQLite com o nome “places.sqlite”, em uma tabela denominada
“moz_annos”
Mozilla Firefox
Downloads
– A partir da versão 26, a tabela denominada “moz_annos” utiliza os
campos “Anno_atribute_id” para várias informações:
• 7 – localização onde o arquivo foi salvo
• 8 – nome do arquivo
• 9 – registra se o download teve sucesso (1) ou não (0)
– Para saber a origem do arquivo, deve ser cruzado o campo

“place_id” da tabela “moz_annos” com o campo “id” da tabela
“moz_places”
Ferramentas
Histórico de download
A ferramenta NirSoft FirefoxDownloadsView permite a consulta aos
downloads realizados pelo Mozilla Firefox.
Ferramentas
Histórico de download
Mozilla Firefox
Favoritos
– Até a versão 2 do Firefox, os Favoritos eram armazenados em um
arquivo, em formato HTML, com o nome “bookmarks.html”.
Algumas informações não eram apresentadas quando esse arquivo
era visualizado em um navegador de Internet.
– A partir da versão 3, o Firefox passou a armazenar os favoritos em
um arquivo de base de dados SQLite com o nome “places.sqlite”,
em uma tabela denominada “moz_bookmarks”.
Mozilla Firefox
Auto-completar
– As informações de auto-completar estão armazenadas no arquivo
em formato SQLite “formhistory.sqlite”.
Mozilla Firefox
Revisão
Artefato Firefox 1.5 e 2 Firefox 3+
Histórico history.dat places.sqlite
Cache _CACHE_ CACHE2
Cookies cookies.txt cookies.sqlite
Favoritos bookmarks.html places.sqlite
Histórico
downloads.rdf places.sqlite
de Download
Auto- formhistory.sqlite
formhistory.dat
completar places.sqlite
Google Chrome
Google Chrome
Informações
– Lançado em Dezembro de 2008
– Localização dos artefatos
• Windows XP: %USERPROFILE%\Local Settings\Application
Data\Google\Chrome\User Data\Default
• Windows Vista: %USERPROFILE%\Appdata\Local\Google\Chrome\user
Data\Default
Google Chrome
Informações
– A grande maioria dos artefatos são gravados em bancos de dados
no formato SQLite.
– O Chrome grava as informações de datas e horários no formato
WebKit
Google Chrome
Favoritos
O Chrome armazena os Favoritos em um arquivo no formato JSON
com o nome “Bookmarks” (sem extensão).
Google Chrome
Histórico
– O Chrome armazena os registros de sítios acessados no arquivo
de banco de dados SQLite com o nome “History”.
– Após aproximadamente 3 meses, os dados são movidos para o
arquivo “Archived History”. Essa tabela registra uma quantidade
menor de informações que a tabela “History”. Esse artefato foi
removido a partir da versão 37.
Google Chrome
Revisão
Artefato Nome do arquivo Formato
History, Top Sites,
Histórico SQLite
Archived History
Cache Data_#, f_##### -
Cookies Cookies SQLite
Favoritos Bookmarks, Bookmarks.bak JSON
Histórico
History SQLite
de Download
Auto- History, Web Data,

SQLite
completar Network Action Predictor
Ferramentas
Ferramentas
Acesso a banco de dados no formato SQLite
– A ferramenta SQLiteStudio permite acessar informações que estão
gravadas em bancos de dados no formato SQLite. Esse formato é
utilizado pelo Mozilla Firefox para registro das informações
Ferramentas
Acesso a bancos de dados SQLite
Ferramentas
Informações do Chrome
– A ferramenta Woanware ChromeForensics permite acessar uma
grande quantidade das principais informações presentes nos
arquivos do Chrome.
Ferramentas
Informações do Chrome
FireFox
• Armazena seus dados em bancos de dados SQLite 3
– Várias ferramentas abertas abrem esses bancos de dados
– SQLite Viewer
• Firefox armazena seus dados em uma pasta dentro
do profile de cada usuário
• Pasta contém o profiles.ini
– Profiles.ini contém outras pastas onde são encontrados:
• Formhistory.sqlite
• Downloads.sqlite
• Cookies.sqlite
• Places.sqlite
Firefox
• Cache
– Diretório de cache do firefox contém vários arquivos
binários
– Ferramentas que abrem esses arquivos:
– NirSoft
– Woanware (conjunto de ferramentas forenses free)
– http://www.woanware.co.uk/forensics/index.html
Chrome
• Armazena os dados em diretório do usuário
• Usa banco de dados SQLite
– Cookies
– History: tables downloads, urls, visits
• Datas armazenadas no formato Jan 1, 1601 UTC
– Dados de Login
– Web Data (autofill)
– Thumbnails (dos sítios WEB visitados)
• Chrome bookmarks
– Arquivos com objetos JSON
Exercício 4
Perguntas

Módulo 4 - Navegadores

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Módulo 4 - Navegadores

Caricato da

Copyright:

Formati disponibili

Navegadores de Internet

Gustavo Pinto Vilar

 COMPROVAÇÃO DA MATERIALIDADE DE CRIMES NA INTERNET

 PRINCIPAIS DISPOSITIVOS LEGAIS RELACIONADOS

 WEB, DEEP WEB E DARK WEB

 ANÁLISE DE SÍTIOS DE INTERNET

 ANÁLISE DE NAVEGADORES DE INTERNET

 REDES SOCIAIS e ANONIMIZADORES

 MOEDAS DIGITAIS (PLUS)

Utilizado como padrão, pois muitos conceitos utilizados

Edge 2015 Incluído - - - - - -

IE 9 2011 - - - Sim Sim, com SP2 - -

Sim, com Sim, com

Sim, com Sim, com

Do arquivo NTUSER.DAT ou USER.DAT de um

Software\Microsoft\Internet Explorer\Typed URLs

=> Senhas do autocompletar criptografadas.

\Software\Microsoft\Protected Storage System Provider

=> Páginas onde foi utilizada a função de autocompletar.

Do hive SOFTWARE podemos obter:

Internet Settings\URL History

=> Informa por quantos dias o histórico é mantido

e a pasta onde está armazenado.

A pasta utilizada para armazenar esse banco de dados:

Apresenta vários nomes:

Assim, a pasta “MSHist012017092320170930” se refere ao histórico entre

Assim, a pasta “MSHist012017092320170930” se refere ao histórico entre

– Essa funcionalidade pode ser desabilitada via GPO ou alterando

• Na verdade trata-se de um banco de dados .EDB

– O cache é o único grande artefato não armazenado em SQLite

– Para saber a origem do arquivo, deve ser cruzado o campo

Cache _CACHE_ CACHE2

Cookies cookies.txt cookies.sqlite

Favoritos bookmarks.html places.sqlite

Cookies Cookies SQLite

Favoritos Bookmarks, Bookmarks.bak JSON

Auto- History, Web Data,

Potrebbero piacerti anche