Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ANÁLISE DE E-MAILS
Quantas vezes
um sítio foi Histórico Cookies
visitado?
Quando um
Pastas de
sítio foi Histórico Cookies Cache
visitado? recuperação
Quais sítios
foram salvos Favoritos
pelo Usuário
Foi feito
Pasta de
download de Cache
algum arquivo? Downloads
Podem ser
identificados Auto- Pastas de
nomes de
Cookies Cache
completar recuperação
usuários
Pelo que o
Auto-
usuário estava Cache
procurando? completar
Fonte: SANS
Navegadores de Internet
Embora exista uma grande quantidade de artefatos
relacionados a navegadores de Internet, as fontes de
informação mais relevantes são:
– Histórico
– Cache de navegação
– Cookies
Navegadores mais utilizados
Internet Explorer (IE)
Internet Explorer (IE)
Internet Explorer (IE)
Sim,
IE 11 2013 Incluído Incluído - - - -
com SP1
Sim, com
IE 10 2012 - - Incluído - - -
SP1
\Software\Microsoft\Internet Explorer\Intelliforms
Software\Microsoft\Windows\CurrentVersion\
COOKIES
C:\Users\[User Name]\AppData\
Roaming\Microsoft\Windows\Cookies
C:\Users\[User Name]\AppData\Roaming\
\Microsoft\Windows\Cookies\Low
Internet Explorer (IE)
Arquivos Index.dat
– Da versão 4 até a 9, a maioria das informações era
armazenada em arquivos “Index.dat”, tais histórico, cookies,
cache, histórico de download, etc.
– Registros apagados podiam ser recuperados.
– Formato binário mantido o mesmo desde a versão 4
– Difíceis de serem apagados pelo usuário, pois sempre
estavam em uso e bloqueados (IE permite apagar)
Internet Explorer (IE)
Horários do histórico nos arquivos Index.dat
A estrutura do Index.dat apresenta dois campos de tempo para cada
registro:
– Index.dat presente na pasta History.IE5: LastAccess (UTC);
LastAccess (UTC)
– Index.dat presente nas pastas de Histórico Diário: LastAccess
(Local); LastAccess (UTC)
– Index.dat presente nas pastas de Histórico Semanal: LastAccess
(Local); Index.dat creation time (UTC)
Internet Explorer (IE)
Localização dos arquivos no IE10 (Windows Vista+)
Informação Localização
Histórico,
metadados de %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
cache e de \WebCacheV*.dat
cookies
%USERPROFILE%\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Content.IE5
Cache
%USERPROFILE%\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Low\Content.IE5
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\Cookies
Cookies
%USERPROFILE%\AppData\Roaming\Microsoft\Windows
\Cookies\Low
Histórico de %USERPROFILE%\AppData\Local\Microsoft\Windows\Webcache
Download \WebCacheV*.dat
Internet Explorer (IE)
Localização dos arquivos
Com o IE10, ao invés de diversos arquivos “Index.dat”
distribuídos em várias pastas, os metadados foram
consolidados em arquivos com o nome “WebCacheV*.dat”.
– AppCache_n – MSysLocales
– AppCacheEntry_n – MSysObjects
– Container_n – MSysObjectsShadow
– DependencyEntry_n – MSysObjids
– HstsEntry_n – Partitions
– LeakFiles
Internet Explorer (IE)
Tabelas dos arquivos WebCacheV*.dat
– Os artefatos presentes nos arquivos WebCacheV*.dat são divididos em
diferentes tabelas de containers (Container_n).
– Cada container pode ser identificado utilizando a tabela “Containers”,
presente nesse banco de dados, e que funciona como um índice das
tabelas de artefatos.
Internet Explorer (IE)
Tabelas dos arquivos WebCacheV*.dat
Internet Explorer (IE)
Histórico
– Excelente para analisar o perfil do usuário
– Os registros dos sítios visitados são armazenados com data e horário
• Os detalhes são registrados para cada conta de usuário
• Registra o número de visitas
• Também armazena o acesso a arquivos locais
– Utilizado pelo navegador para autocompletar
Internet Explorer (IE)
Histórico
– Armazenado em diversos arquivos Index.dat (IE4-IE9) ou no arquivo
WebCacheV*.dat (IE10+)
– A chave do registro do SO determina o tempo em que os registros são
armazenados:
SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\URL History
– Facilmente manipulado/limpo pelo usuário
Internet Explorer (IE)
Histórico
Pode fornecer as seguintes informações:
– Quais sítios o usuário visitou nos últimos X dias (X é o número de dias
em que o histórico é armazenado)
– Quais arquivos foram acessados nos últimos X dias
– A conta do usuário utilizada para acessar o sítio
– A data e horário em que houve a última visita a um sítio
– Quantas vezes cada sítio foi visitado
Internet Explorer (IE)
Histórico
Nas versões IE5-9, o Sistema Operacional mantinha arquivos de histórico
nos arquivos Index.dat, armazenadas em pastas com o nome no seguinte
formato:
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
MSHIST01<Ano_Início><Mês_Início><Dia_Início><Ano_Fim><Mês_Fim><Dia_Fim>
Temporary
INetCache
Internet Files
Content.IE5 IE
• IEYFMNCP • 4KD85H0Q
• UIQWMVNT • MFAD2Q94
• H83J6CVT • LA74C03Y
• 7YTMADQP5 • 9U2K33B3
Internet Explorer (IE)
Cache
Os arquivos de cache são renomeados, sendo inserido um
sufixo apresentando “[n]”, onde n é a enésima cópia do arquivo
com o referido nome, para evitar colisão de nomes.
Internet Explorer (IE)
Cache
Até o IE9, o arquivo Index.dat é fundamental para reconstrução do cache:
– registra a URL visitada
– identifica o path do arquivo salvo e a referência dele na URL
– armazena no campo Type o motivo da existência daquele registro:
• URL – indica que uma URL foi acessada em um pedido normal
• LEAK – falha em apagar o arquivo de cache em virtude do arquivo estar
bloqueado
• REDR – página visitada, causando um redirecionamento (não salvo no cache)
• HASH – um índice de hash do conteúdo do cache
Internet Explorer (IE)
Cache
– Cabeçalhos HTTP (request e response)
– Informações de datas e horários
Internet Explorer (IE)
Internet Explorer (IE)
Internet Explorer (IE)
Cache
Principais campos na tabela de cache:
– FileName – nome do arquivo no disco (inclusive com [n])
– FileSize – tamanho do arquivo no disco
– SecureDirectory – índice da pasta onde o arquivo está salvo no
disco (resultado do campo SecureDirectories)
– AccessCount – número de vezes que o arquivo de cache foi
utilizado pelo navegador
– URL – identifica a origem de cada arquivo de cache
Internet Explorer (IE)
Cache
– CreationTime (só existe no WebCacheV*) – momento de criação do
arquivo de cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o
conteúdo do cache foi visualizado pelo usuário (UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o
conteúdo foi modificado no servidor de arquivos (UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para
identificar entradas muito antigas no cache (UTC)
Internet Explorer (IE)
– CreationTime (só existe no WebCacheV*) – momento de criação do arquivo de
cache (UTC)
– AccessedTime (Last Accessed no Index.dat) – último momento em que o
conteúdo do cache foi visualizado pelo usuário (UTC)
– ModifiedTime (Last Modified no Index.dat) – último momento em que o conteúdo
foi modificado no servidor de arquivos (UTC)
– ExpiryTime (Expiration no Index.dat) – utilizado pelo navegador para identificar
entradas muito antigas no cache (UTC)
– Last Checked (só existe no Index.dat) – quando um arquivo é requisitado, o
navegador compara com a última versão no sítio
Ferramentas
Cache de navegação
– A empresa NirSoft desenvolveu várias ferramentas para acesso de
informações presentes no cache de navegação dos seguintes
navegadores:
• IE – IECacheView
• Mozilla Firefox – MZCacheView
• Google Chrome – ChromeCacheView
• Ópera – OperaCacheView
• Safari – SafariCacheView
Ferramentas
Cache de navegação
Internet Explorer (IE)
Cookies
Existem dois tipos:
– Persistentes – ficam gravados no disco
– Sessão – ficam apenas em memória e são mantidos apenas
durante a sessão de navegação
Internet Explorer (IE)
Cookies
– Pequenos arquivos de texto (<4KB) que registram
informações selecionadas pelos desenvolvedores do sítio
– Podem fornecer as seguintes informações:
• Sítio acessado
• Conta do usuário que acessou o sítio
• Datas e horários de criação, modificação e último acesso dos
arquivos de cookies (mantidos no sistema de arquivos)
• Outros dados presentes no cookie
Internet Explorer (IE)
Cookies
Várias atualizações no IE e no Windows modificaram o funcionamento dos
cookies:
– Windows 7 criou as pastas “Low”
– IE 9.0.2 passou a utilizar nomes pseudo-aleatórios nos cookies
– Windows 8.1 passou a utilizar a pasta para armazenar os cookies
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCookies (era
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies )
Internet Explorer (IE)
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– FileName – nome do arquivo do cookie no disco
– URL – endereço do sítio que gerou o cookie. A conta local do usuário que gerou o
cookie é armazenada como parte da URL (ex: Maria@barbie.com)
– AccessCount (anteriormente chamada de Hits) – indica o número de vezes que o
cookie foi utilizado pelo sítio
– CreationTime (apenas no WebCacheV*.dat) – a primeira vez que o cookie foi
salvo no disco
Internet Explorer (IE)
Cookies
Principais campos (no Index.dat e WebCacheV*.dat)
– ModifiedTime – última vez em que o sítio fez modificações no cookie ou quando
ele foi criado. Registrado em UTC
– AccessedTime – indica a última vez em que o cookie foi enviado ao sítio que o
originou
– ExpiryTime – indica o momento, registrado no cookie pelo sítio que o criou, em
que o cookie não será mais considerado válido. Registrado em UTC
– Last Checked (apenas no Index.dat) – indica a última vez em que o cookie foi
checado se estava expirado (ExpiryTime)
Ferramentas
Cookies
– A empresa NirSoft desenvolveu várias ferramentas para acesso de
informações presentes nos cookies de navegação do IE, Mozilla
Firefox e cookies criados por componentes Flash:
• IE – IECookiesView
• Mozilla Firefox – MZCookiesView
• Flash – FlashCookiesView
Ferramentas
Cookies
Internet Explorer (IE)
Aplicações Modernas (Modern Applications)
– A partir do Windows 8, a Microsoft criou a possibilidade de
utilização das denominadas “Modern Applications”.
– São locais, armazenados em subpastas da pasta
“%USERPROFILE%\AppData\Local\Packages\” (ex: Twitter -
“%USERPROFILE%\AppData\Local\Packages\9E2F88E3.Twi
tter_wgeqdkkx372wm\AC\INetCache”)
Internet Explorer (IE)
Download
– O local padrão para salvar um arquivo que é baixado (feito
download) pelo navegador é o valor “Download Directory”,
localizado na chave “NTUSER\Software\Microsoft\Internet
Explorer”
– Por padrão, o dado é “%USERPROFILE%\Downloads” (até o
Windows XP, era “%USERPROFILE%\Desktop”)
Internet Explorer (IE)
Download
– A partir da versão 9, o IE passou a utilizar um gerenciador de
downloads completo.
– As informações de download passaram a ser armazenadas
no registro, na chave “%USERPROFILE%\AppData\Roaming
\Microsoft\Windows\IEDownloadHistory\”
Internet Explorer (IE)
Download
São armazenadas as seguintes informações:
– Nome do arquivo
– Tamanho do arquivo
– URL de origem
– URL
– Destino do download
– Tempo de download
Internet Explorer (IE)
Download
Os registros podem ser apagados pelos usuários de diversas
formas:
– Selecionados individualmente e removidos pelo botão “X”
– Toda lista pode ser limpa através do botão “Limpar lista”
– No menu “Opções de Internet” do IE, existe uma opção para
apagar o histórico de downloads
Internet Explorer (IE)
Download
Como os cabeçalhos são salvos em formato Hexadecimal, podem ser
convertidos para obtenção da URL. Para isso podem ser utilizados:
– https://www.branah.com/ascii-converter
– Extensão para Firefox LeetKey
– Plugin Hex Conversion para Notepad++
O acesso ao cabeçalho e da URL pode permitir, por exemplo, a
identificação de senhas utilizadas para abertura de arquivos cifrados
Internet Explorer (IE)
Auto-completar
Na chave “NTUSER\Software\Microsoft\Internet Explorer\TypedURLs”
do registro do Windows são armazenados os últimos 25 endereços
digitados pelo usuário no IE9 e, a partir do IE10, são registrados os
últimos 50 endereços.
Esses registros indicam que o usuário ativamente quis acessar
determinada URL, pois não são gravados os cliques em endereços,
mas apenas o que efetivamente o usuário digitou
Internet Explorer (IE)
Auto-completar
–
Internet Explorer (IE)
Auto-completar
O IE10 também registra a última vez em que a URL digitada foi
utilizada, salvando essas informações na chave do registro
“NTUSER\Software\Microsoft\Internet Explorer\TypedURLsTime”
Internet Explorer (IE)
Auto-completar
Internet Explorer (IE)
Auto-completar
Internet Explorer (IE)
Favoritos
Fornece uma perspectiva dos interesses do usuário do computador
Informações que podem ser obtidas:
– Conta do usuário
– URL
– Título da página
– Data de criação e de último acesso
Cuidado: nem todo link registrado como Favorito foi criado pelo
usuário
Internet Explorer (IE)
Favoritos
São criados arquivos de atalho de Internet (extensão .url) na pasta
“%USERPROFILE%\Favorites”
Internet Explorer (IE)
Favoritos
Ferramentas
Favoritos
A ferramenta NirSoft FavoritesView permite a consulta aos favoritos
do Internet Explorer e do Mozilla Firefox.
Internet Explorer (IE)
Pastas de Recuperação (Recovery Folders)
– A partir do IE8, são salvas a última sessão (e a atual, se um crash
ocorreu) em uma pasta de Recuperação
– Essa pasta é habilitada por padrão e é apagada quando o Histórico
é limpo
– Permite identificar
• Histórico de sítios abertos (em cada aba)
• Momento em que a sessão começou e terminou
• HTML, JavaScript e XML da página
• Informações de formulários
Internet Explorer (IE)
Pastas de Recuperação (Recovery Folders)
– As informações de início e fim são obtidas da seguinte forma:
• Data e horário de criação dos arquivos .dat na pasta “Active” indicam o
início da sessão
• Data e horário de criação dos arquivos .dat na pasta “LastActive” indicam
o fim da sessão
– Sistema
• \Windows\System32\config\systemprofile\AppData\Local\Vault\{G
UID}
• \Windows\System32\config\systemprofile\AppData\Roaming\Vault\
{GUID}
Internet Explorer (IE)
Senhas armazenadas no IE
– Essas informações estão cifradas com as credenciais de
acesso do Windows (nome de usuário e senha do SO)
– Se essas credenciais do SO são conhecidas, a forma mais
fácil de recuperar esses dados é através da execução de uma
ferramenta, tal como a NirSoft WebBrowserPassView, em
uma máquina virtual.
– Se as credenciais não forem conhecidas, será necessária a
utilização de aplicativos de quebra de senha
Ferramentas
Senhas armazenadas no IE, Firefox e Chrome
– A ferramenta NirSoft WebBrowserPassView permite acessar
informações de usuários e senhas de diversos navegadores de
Internet.
Ferramentas
Senhas armazenadas no IE, Firefox e Chrome
Internet Explorer (IE) / Edge
Revisão
Artefato Localização
Histórico WebCacheV*.dat ou Histórico no Index.dat
Cache WebCacheV*.dat ou Cache no Index.dat
Cookies WebCacheV*.dat ou Cookies no Index.dat
Favoritos Arquivos .url
Histórico de
WebCacheV*.dat ou IEDownloadHistory Index.dat
Download
URLs
Registro
digitadas
Auto-
WebCacheV*.dat ou Histórico no Index.dat
completar
Senhas de
Área protegida
Internet
Edge Browser
• Novo navegador da Microsoft
• Semelhante ao IE10, não grava mais dados no index.dat, grava
principalmente em bancos de dados EDB
• Configurações do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxxx\
AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\xxxxx\DBStore\spar
tan.edb
• Cache do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\A
C\#!001\MicrosoftEdge\Cache\
• Última sessão ativa do EDGE
– \Users\user_name\AppData\Local\Packages\Microsoft.MicrosoftEdge_xxxx\A
C\MicrosoftEdge\User\Default\Recovery\Active\
Histórico EDGE
• Arquivo de histórico:
– \Users\user_name\AppData\Local\Microsoft\Windows\W
ebCache\WebCacheV01.dat
Histórico
downloads.rdf places.sqlite
de Download
Auto- formhistory.sqlite
formhistory.dat
completar places.sqlite
Google Chrome
Google Chrome
Informações
– Lançado em Dezembro de 2008
– Localização dos artefatos
• Windows XP: %USERPROFILE%\Local Settings\Application
Data\Google\Chrome\User Data\Default
• Windows Vista: %USERPROFILE%\Appdata\Local\Google\Chrome\user
Data\Default
Google Chrome
Informações
– A grande maioria dos artefatos são gravados em bancos de dados
no formato SQLite.
– O Chrome grava as informações de datas e horários no formato
WebKit
Google Chrome
Favoritos
O Chrome armazena os Favoritos em um arquivo no formato JSON
com o nome “Bookmarks” (sem extensão).
Google Chrome
Histórico
– O Chrome armazena os registros de sítios acessados no arquivo
de banco de dados SQLite com o nome “History”.
– Após aproximadamente 3 meses, os dados são movidos para o
arquivo “Archived History”. Essa tabela registra uma quantidade
menor de informações que a tabela “History”. Esse artefato foi
removido a partir da versão 37.
Google Chrome
Revisão
Artefato Nome do arquivo Formato
History, Top Sites,
Histórico SQLite
Archived History
Cache Data_#, f_##### -
Histórico
History SQLite
de Download