| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari:forenzicka_analiza_google_chrome_web_preglednika [2023/01/12 19:23]
ds50632 [Sažetak] |
racfor_wiki:seminari:forenzicka_analiza_google_chrome_web_preglednika [2024/12/05 12:24] (trenutno)
|
| ==== Uvod ==== | ===== Uvod ===== |
| Ideja ovog rada je obaviti forenzičku analizu //Google Chrome// web preglednik na platformi //Windows//. U moderno doba većina korisnika računala većunu vremena provodi pretraživajući Internetske stranice (world wide web - WWW). Moglo bi se reći da je operacijski sustav na računalu samo //bootloader// za web preglednik. Prema statistikama [3, 4] - 75 % korisnika računala koristi Windows operacijski sustav, a 66 % korisnika računala koristi Google Chrome kao web preglednik. Iz tog razloga izabran je Google Chrome na Windows platformi. | |
| ==== Analiza datoteka unutar appdata direktorija ==== | Ideja ovog rada je obaviti forenzičku analizu //Google Chrome// web preglednik na platformi //Windows//. U moderno doba većina korisnika računala većinu vremena provodi pretraživajući Internetske stranice (world wide web - WWW). Moglo bi se reći da je operacijski sustav na računalu samo //bootloader// za web preglednik. Prema statistikama [3, 4] - 75 % korisnika računala koristi Windows operacijski sustav, a 66 % korisnika računala koristi Google Chrome kao web preglednik. Iz tog razloga izabran je Google Chrome na Windows platformi. |
| | |
| | ===== Analiza datoteka unutar appdata direktorija ===== |
| Kako bi se mogla napraviti sveobuhvatna forenzička analiza Google Chrome web preglednika (od sada nadalje Chrome preglednik) na Windows 10 operacijskom sustavu (od sada nadalje OS) prvo je potrebno istražiti koje sve direktorije Google Chrome koristi. | Kako bi se mogla napraviti sveobuhvatna forenzička analiza Google Chrome web preglednika (od sada nadalje Chrome preglednik) na Windows 10 operacijskom sustavu (od sada nadalje OS) prvo je potrebno istražiti koje sve direktorije Google Chrome koristi. |
| |
| |
| |
| Direktorij (1) pohranjuje program Google Chrome i sve potrebno kako bi web preglenik ispravno funckionirao.\\ Unutar direktorija (2) Chrome pohranjuje korisničke podatke, kao što su:\\ | Direktorij (1) pohranjuje program Google Chrome i sve potrebno kako bi web preglednik ispravno funkcionirao.\\ Unutar direktorija (2) Chrome pohranjuje korisničke podatke, kao što su:\\ |
| - povijest pretraživanja interneta (i preuzimanja),\\ | - povijest pretraživanja interneta (i preuzimanja),\\ |
| - kolačići,\\ | - kolačići,\\ |
| - podaci bankovnih kartica. | - podaci bankovnih kartica. |
| |
| Direktorij sa korisnikčkim podacima (2) je u ranije navedenom obliku ukoliko su kreirani korisnički profili unutar Chrome preglednika. Ukoliko korisnički profili nisu kreirani, tada se svi podaci pohranjuju u direktoij:\\ | Direktorij sa korisničkim podacima (2) je u ranije navedenom obliku ako su kreirani korisnički profili unutar Chrome preglednika. Ako korisnički profili nisu kreirani, tada se svi podaci pohranjuju u direktorij:\\ |
| **//C:\Users\//<//win_user_name//>//\AppData\Local\Google\Chrome\User Data\Default//**.\\ | **//C:\Users\//<//win_user_name//>//\AppData\Local\Google\Chrome\User Data\Default//**.\\ |
| Direktorij sa korisničkim podacima (2) vidljiv je na slici 1. | Direktorij s korisničkim podacima (2) vidljiv je na slici 1. |
| |
| {{:racfor_wiki:seminari:default-chrome.png?400|Slika 1 (Google Chrome direktorij sa korisničkim podacima)}}\\ | {{:racfor_wiki:seminari:default-chrome.png?400|Slika 1 (Google Chrome direktorij s korisničkim podacima)}}\\ |
| Slika 1 (Google Chrome direktorij sa korisničkim podacima) | Slika 1 (Google Chrome direktorij s korisničkim podacima) |
| |
| Sve datoteke i (pod)direktoriji na koje će se referencirati od sada nadalje će biti iz //Chrome direktorija// (2) - koji je prikazan na slici 1 - i označavati će se **<//chrome_dir//>**. | Sve datoteke i (pod)direktoriji na koje će se referencirati od sada nadalje će biti iz //Chrome direktorija// (2) - koji je prikazan na slici 1 - i označavat će se **<//chrome_dir//>**. |
| | |
| | ==== Povijest pretraživanja interneta ==== |
| |
| === Povijest pretraživanja interneta === | |
| Povijest pretraživanja interneta (i povijest preuzimanja) nalazi se u datoteci //History// unutar Chrome direktorija. Radi se o SQLite bazi podataka koju je moguće otvoriti programom [[https://sqlitebrowser.org/|DB browser for SQLite]]. | Povijest pretraživanja interneta (i povijest preuzimanja) nalazi se u datoteci //History// unutar Chrome direktorija. Radi se o SQLite bazi podataka koju je moguće otvoriti programom [[https://sqlitebrowser.org/|DB browser for SQLite]]. |
| |
| Otvorena SQLite datoteka/baza podataka //History// može se vidjeti na slici 2. | Otvorena SQLite datoteka/baza podataka //History// može se vidjeti na slici 2. |
| |
| {{:racfor_wiki:seminari:history.png?400|Slika 2 (SQLite History)}}\\ | {{:racfor_wiki:seminari:history.png?400|Slika 2 (SQLite baza podataka //History//)}}\\ |
| Slika 2 (SQLite History) | Slika 2 (SQLite baza podataka //History//) |
| |
| === Kolačići === | ==== Kolačići ==== |
| Kolačići sa posjećenih web stranica nalaze se u datoteci SQLite baze podataka <//chrome_dir//>//\netowk\Cookies//. Otvaranjem baze podataka (slika 3) vidljivo je da je sadržaj kolačića kriptiran. Više o kriptiranju kolačića i lozinka u poglavlju o lozinkama. Na slici 3 se jasno vidi //encrypted_value// stupac u tablici //cookies// baze podataka //Cookies// - prikazana je vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). | |
| | Kolačići s posjećenih web stranica nalaze se u datoteci SQLite baze podataka <//chrome_dir//>//\netowk\Cookies//. Otvaranjem baze podataka (slika 3) vidljivo je da je sadržaj kolačića kriptiran. Više o kriptiranju kolačića i lozinka u poglavlju o lozinkama. Na slici 3 se jasno vidi //encrypted_value// stupac u tablici //cookies// baze podataka //Cookies// - prikazana je vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). |
| |
| {{:racfor_wiki:seminari:cookies-sqlite.png?400|Slika 3 (SQLite baza podataka - //cookies//)}}\\ | {{:racfor_wiki:seminari:cookies-sqlite.png?400|Slika 3 (SQLite baza podataka - //cookies//)}}\\ |
| Slika 4 (//ChromeCookiesView v1.73// - prikaz kolačića) | Slika 4 (//ChromeCookiesView v1.73// - prikaz kolačića) |
| |
| === Add-ons === | ==== Add-ons ==== |
| Proširenja (eng. add-ons) koje korisnik instalira unutar Google Chrome preglednika nalaze se u direktoriju <//chrome_dir//>//\Extensions// kao što je vidljivo na slici 5. | Proširenja (eng. add-ons) koje korisnik instalira unutar Google Chrome preglednika nalaze se u direktoriju <//chrome_dir//>//\Extensions// kao što je vidljivo na slici 5. |
| |
| Slika 6 (Direktorij - //Google prevoditelj add-on//) | Slika 6 (Direktorij - //Google prevoditelj add-on//) |
| |
| === Cache podaci === | ==== Cache podaci ==== |
| Privremene (eng. cache) podatke Google Chrome privremeno pohranjuje lokalno na računalo (kako ih prilikom ponovog otvaranja iste web stranice ne bi morao ponovo preuzimati pohranjuje) u direktorij <//chrome_dir//>//\Cache\Cache_data//. Forenzička analiza privremenih datoteka prvo je obavljena ChromeCacheView v2.41 [9] alatom. Rezultati izvođenja prikazani su na slici 7. | |
| | Privremene (eng. cache) podatke Google Chrome privremeno pohranjuje lokalno na računalo (kako ih prilikom ponovnog otvaranja iste web stranice ne bi morao ponovo preuzimati pohranjuje) u direktorij <//chrome_dir//>//\Cache\Cache_data//. Forenzička analiza privremenih datoteka prvo je obavljena ChromeCacheView v2.41 [9] alatom. Rezultati izvođenja prikazani su na slici 7. |
| |
| {{:racfor_wiki:seminari:cache-nirsoft.png?400|Slika 7 (//ChromeCacheView v2.41// - prikaz //cache// datoteka)}}\\ | {{:racfor_wiki:seminari:cache-nirsoft.png?400|Slika 7 (//ChromeCacheView v2.41// - prikaz //cache// datoteka)}}\\ |
| Slika 8 (//Cache// datoteke - ručna forenzička identifikacija //PNG// slike) | Slika 8 (//Cache// datoteke - ručna forenzička identifikacija //PNG// slike) |
| |
| === Podaci za automatsko popunjavanje obrazaca === | ==== Podaci za automatsko popunjavanje obrazaca ==== |
| Podaci pohranjeni za automatski popunjavanje web obrazaca (eng. autofill data) pohranjeni su u SQLite bazi podataka <//chrome_dir//>//\Web Data//. Svi podaci koji se pohranjuju mogu se videjti na slici 9. Na slici 10 prikazana su imena i prezimena, a na slici 11 prikazani su e-mail adrese. | |
| | Podaci pohranjeni za automatski popunjavanje web obrazaca (eng. autofill data) pohranjeni su u SQLite bazi podataka <//chrome_dir//>//\Web Data//. Svi podaci koji se pohranjuju mogu se vidjeti na slici 9. Na slici 10 prikazana su imena i prezimena, a na slici 11 prikazani su e-mail adrese. |
| |
| {{:racfor_wiki:seminari:autofill-all_tables.png?400|Slika 9 (Prikaz svih //autofill// podataka koji se mogu pohraniti)}}\\ | {{:racfor_wiki:seminari:autofill-all_tables.png?400|Slika 9 (Prikaz svih //autofill// podataka koji se mogu pohraniti)}}\\ |
| Slika 11 (Primjer pohranjenih e-mail adresa) | Slika 11 (Primjer pohranjenih e-mail adresa) |
| |
| === Lozinke === | ==== Lozinke ==== |
| Lozinke za prijavu na web stranice pohranjuju se u SQLite bazu podataka <//chrome_dir//>//\Login Data//. Lozinke se prije pohrane kriptiraju. Prilikom ispisa baze podataka se u stupcu //password_value// mogu uočiti vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). Navedeno se može vidjeti na slici 12. | Lozinke za prijavu na web stranice pohranjuju se u SQLite bazu podataka <//chrome_dir//>//\Login Data//. Lozinke se prije pohrane kriptiraju. Prilikom ispisa baze podataka se u stupcu //password_value// mogu uočiti vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). Navedeno se može vidjeti na slici 12. |
| |
| Slika 13 (//WebBrowserPassView v2.12// - prikaz dekriptiranih lozinka) | Slika 13 (//WebBrowserPassView v2.12// - prikaz dekriptiranih lozinka) |
| |
| === Podaci bankovnih kartica === | ==== Podaci bankovnih kartica ==== |
| Podaci bankovnih kartica, oednosno //brojevi kartica// - nalaze se pohranjeni u SQLite bazi podataka <//chrome_dir//>//\Web Data// u tablici //credit_cards// i kriptirani su, te ih nije moguće pročitati. Prilikom ispisa baze podataka se u stupcu //card_number_encrypted// mogu uočiti vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). Navedeno se može vidjeti na slici 12. | |
| | Podaci bankovnih kartica, odnosno //brojevi kartica// - nalaze se pohranjeni u SQLite bazi podataka <//chrome_dir//>//\Web Data// u tablici //credit_cards// i kriptirani su, te ih nije moguće pročitati. Prilikom ispisa baze podataka se u stupcu //card_number_encrypted// mogu uočiti vrijednost //BLOB// (ili drugi naziv eng. //binary blob//). Navedeno se može vidjeti na slici 12. |
| |
| {{:racfor_wiki:seminari:autofill-credit_cards.png?400|Slika 14 (Kriptirani brojevi bankovnih kartica u SQLite bazi podataka - //Web Data//)}}\\ | {{:racfor_wiki:seminari:autofill-credit_cards.png?400|Slika 14 (Kriptirani brojevi bankovnih kartica u SQLite bazi podataka - //Web Data//)}}\\ |
| Slika 16 (Podaci preglednika Google Chrome koje je alat //HackBrowserData// uspio dobaviti) | Slika 16 (Podaci preglednika Google Chrome koje je alat //HackBrowserData// uspio dobaviti) |
| |
| Dekriptirane lozinke nalaze se u datoteci //chrome_default_creditcard.csv//. Nakon otvaranja datoteke moguće je pročitati pohranjene brojeve kreditnih kartica. Navedeno je vidljivo na slici 17. | Dekriptirani brojevi kartica nalaze se u datoteci //chrome_default_creditcard.csv//. Nakon otvaranja datoteke moguće je pročitati pohranjene brojeve kreditnih kartica. Navedeno je vidljivo na slici 17. |
| |
| {{:racfor_wiki:seminari:hackbrowserdata-out-card_num.png?400|Slika 17 (Dekriptirani brojevi bankovnih kartica korištenjem alata //HackBrowserData//)}}\\ | {{:racfor_wiki:seminari:hackbrowserdata-out-card_num.png?400|Slika 17 (Dekriptirani brojevi bankovnih kartica korištenjem alata //HackBrowserData//)}}\\ |
| |
| |
| ==== Dekriptiranje lozinka ==== | ===== Dekriptiranje lozinka ===== |
| Prema literaturi [11, 12] Google Chrome koristi [[https://en.wikipedia.org/wiki/Galois/Counter_Mode|AES GCM]] kriptiranje za pohranu lozinka. Za kriptiranje (i dekriptiranje) potreban je (AES) ključ. Radi povećanja razine sigurnosti enkripcije, Google Chrome koristi funkciju //[[https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata|CryptProtectData]]// funkciju (ugrađenu u //[[https://en.wikipedia.org/wiki/Data_Protection_API|Data Protection Application Programming Interface (DPAPI)]]// - koji dolazi kao dio Windows operacijskog sustava) kako bi (de)kriptirao lozinke. | Prema literaturi [11, 12] Google Chrome koristi [[https://en.wikipedia.org/wiki/Galois/Counter_Mode|AES GCM]] kriptiranje za pohranu lozinka. Za kriptiranje (i dekriptiranje) potreban je (AES) ključ. Radi povećanja razine sigurnosti enkripcije, Google Chrome koristi funkciju //[[https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata|CryptProtectData]]// funkciju (ugrađenu u //[[https://en.wikipedia.org/wiki/Data_Protection_API|Data Protection Application Programming Interface (DPAPI)]]// - koji dolazi kao dio Windows operacijskog sustava) kako bi (de)kriptirao lozinke. |
| ==== Zaključak ==== | |
| Rad uspješno obavlja forenzičku analizu svih artefakata koje za sobom ostavlja Google Chrome web preglednik. Uspješno su dobavljene lozinke, brojevi bankovnih kartica, kolačići, povijest pretraživanja inerneta, povijest preuzimanja, sva proširenja (eng. add-ons), privremene datoteke (eng. cache) i podaci za automatsko popunjavanje obrazaca. | |
| |
| Preporuka za daljnji rad bila bi detaljno istražiti kako funkionira (de)kriptiranje lozinka, kolačića i brojeva bankovnih kartica na razini programskog koda Google Chrome web preglednika, te pokušati ručno obaviti dekriptiranje navedenog bez korištenja gotovih forenzičkih alata. | ===== Zaključak ===== |
| ==== Sažetak ==== | |
| | Rad uspješno obavlja forenzičku analizu svih artefakata koje za sobom ostavlja Google Chrome web preglednik. Uspješno su dobavljene lozinke, brojevi bankovnih kartica, kolačići, povijest pretraživanja interneta, povijest preuzimanja, sva proširenja (eng. add-ons), privremene datoteke (eng. cache) i podaci za automatsko popunjavanje obrazaca. |
| | |
| | Zaključuje se da forenzički alati uvelike olakšavaju postupak dekriptiranja [8,9,10,13] kriptiranih artefakata, te automatske ekstrakcije [13] podataka. |
| | |
| | Preporuka za daljnji rad bila bi detaljno istražiti kako funkcionira (de)kriptiranje lozinka, kolačića i brojeva bankovnih kartica na razini programskog koda Google Chrome web preglednika, te pokušati ručno obaviti dekriptiranje navedenog bez korištenja gotovih forenzičkih alata. |
| | |
| | ===== Sažetak ===== |
| Rad analizira direktorije koje za svoj rad koristi Google Chrome web preglednik. | Rad analizira direktorije koje za svoj rad koristi Google Chrome web preglednik. |
| |
| Nakon analize direktorija, prelazi se na analizu artefakata koje za sobom ostavlja Google Chrome. Njihova analiza obavlja se djelom ručno, a djelom korištenjem raznih nekolicine forenzičkih alata koji pomažu u forenzičkoj analizi. | Nakon analize direktorija, prelazi se na analizu artefakata koje za sobom ostavlja Google Chrome. Njihova analiza obavlja se djelom ručno, a djelom korištenjem nekolicine forenzičkih alata. |
| |
| Postupak forenzičke analize je detaljno dokumentiran - detaljnim opisima i snimkama zaslona (alati, direktoriji). | Postupak forenzičke analize je detaljno dokumentiran - detaljnim opisima i snimkama zaslona (alati, direktoriji). |
| ==== Literatura ==== | |
| | ===== Prezentacija ===== |
| | |
| | {{ :racfor_wiki:seminari:strbad_d-forenzicka_analiza_google_chrome_web_preglednika-prez_v1.pdf | Strbad D. - Forenzička analiza Google Chrome web preglednika - PREZ v1.pdf}} |
| | |
| | |
| | ===== Literatura ===== |
| |
| [1] [[https://chromium.googlesource.com/chromium/src.git|Chromium Git]] | [1] [[https://chromium.googlesource.com/chromium/src.git|Chromium Git]] |
