Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
Prijevodi ove stranice:

Ovo je stara izmjena dokumenta!


Sažetak

Uvod

Dumpzilla je digitalni forenzički alat za provođenje forenzičke istrage na internetskom pregledniku. Omogućuje analizu i izvlačenje zanimljivih informacija i artefakata internetskih preglednika Firefox, Iceweasel i Seamonkey. Alat Dumpzilla razvijen je u programskom jeziku Python3 te ga je moguće pokrenuti na operacijskim sustavima UNIX i Windows. Pokreće se pomoću naredbenog retka, te se pomoću jednostavnih naredbi može prilagoditi način pretrage, vizualizirati rezultati pretrage, te izdvojiti određeni sadržaj. Dumpzilla je dostupan za besplatno preuzimanje na web stranici razvojnog programera.

Informacije koje Dumpzilla dohvaća

Dumpzilla može izvući niz različitih vrsta informacija iz preglednika. Cijeli popis vrsta informacija je sljedeći:

  1. Kolačići + DOM pohrana (HTML 5).
  2. Korisničke postavke (Dozvole domene, Proxy postavke…).
  3. Preuzimanja.
  4. Web obrasci (pretrage, e-mail, komentari…).
  5. Povijest.
  6. Oznake.
  7. Cache HTML5 vizualizacija / ekstrakcija (izvanmrežna predmemorija).
  8. “Thumbnails” posjećenih stranica. Vizualizacija / Ekstrakcija .
  9. Dodaci/proširenja i korišteni putovi ili URL-ovi.
  10. Lozinke spremljene u pregledniku.
  11. SSL certifikati dodani kao iznimka.
  12. Podaci o sesiji (Webovi, referentni URL-ovi i tekst korišten u obrascima).

Instalacija i pokretanje

Za uspješnu instalaciju alata Dumpzilla prvo je potrebno imati instaliran Python 3.x. Zatim je potrebno preuzeti python skriptu sa sljedeće poveznice: https://github.com/Busindre/dumpzilla. Kako bi preuzeta skripta ispravno radila potrebno je i izvršiti sljedeću naredbu:

 pip install python-magic-bin 

Sada je potrebno pozicionirati se u direktorij gdje se nalazi preuzeta skripta. Skriptu pokrećemo sljedećom naredbom:

 python dumpzilla.py 

Pokretanjem ove naredbe ispisuju se informacije za korištenje alata.

Alat se koristi sljedećom naredbom:

 python dumpzilla.py browser_profile_directory [Options] 

Popis svih opcija prikazane su sljedećom tablicom:

Opcija Rezultat opcije
–All Prikazuje sve osim DOM podataka. Ne izvlači sličice ili HTML 5 izvan mreže
–Cookies [-showdom -domain <string> -name <string> -hostcookie <string> -access <date> -create <date> -secure <0/1> -httponly <0/1> -range_last -range_create <start> <end>] Prikazuje informacije o kolačićima. Ovisno o odabranoj podopciji moguće je prikazivati samo određene podatke te filtrirati rezultate na temelju naziva domene, nazivu kolačića, datumu pristupa, datumu stvaranja…
–Permissions [-host <string>] Prikazuje informacije korisničkim postavkama i dopuštenjima. Moguće filtriranje po domeni.
–Downloads [-range <start> <end>] Prikazuje informacije o preuzimanjima, također pohranjenu povijest i popis preuzimanja direktorija. Moguće je filtrirajnje prema datumu pokretanja preuzimanja.
–Forms [-value <string> -range_forms <start> <end>] Prikazuje informacije o korištenim obrascima i napisanim podacima u njima. Moguće je filtriranje prema pisanom tekstu u obrascu te prema rasponu.
–History [-url <string> -title <string> -date <date> -range_history <start> <end> -frequency] Prikazuje informacije o povijesti pretraživanja. Moguće je filtriranje prema URL-u, web naslovu, po datumu pristupa, rasponu, te frekvenciji posjećivanja.
–Bookmarks [-range_bookmarks <start> <end>] Prikazuje pohranjenje stranice u oznakama. Moguće je prikazivati samo oznake u određenom vremenskom rasponu.
–Thumbnails [-extract_thumb <directory>] Izdvoji početne sličice preglednika ili nove kartice/prozora.
–Range <start date> <end date> Filtriranje kolačića, preuzimanja, obrasca, povijesti i oznake prema rasponu.
–Addons Prikaži dodatke/proširenja i putanje/URL-ove koji se koriste pregledniku.
–Passwords Prikaži informacije o pohranjenim korisnicima i njihovim lozinkama i dekodiraj ih.
–Certoverride Prikaži dodane SSL certifikate.
–Session Prikaži podatke o zadnjoj i pretposljednjoj sesiji. Zadnji webovi i korišteni obrasci.
–Watch [-text <string>] Prikaži u daemon načinu rada URL-ove i tekstualni oblik u stvarnom vremenu.

Korištenje alata

S obzirom da Dumpzilla podržava samo internetske preglednike Firefox, Iceweasel i Seamonkey, ovdje će se primjeri analize provoditi na pregledniku Firefox na operacijskom sustavu Windows. Način korištenja i opcije su jednake kao i na Unix operacijskim sustavima, jedina razlika je lokacija direktorija profila preglednika.

Primjer lokacija profila preglednika Firefox:

Windows profil: “C:\Users\Korisnik\AppData\Roaming\Mozilla\Firefox\Profiles\\xxxx.default”

Unix profil: “/home/xx/ .mozilla/firefox/xxxx.default”

Primjeri izvlačenja informacija

Pokretanjem naredbe uz opciju –All izvlače se sve informacije iz profila.

Dumpzilla će prikazati SHA256 hash svake korištene datoteke za izvlačenje informacija, te će na kraju prikazati sažetak s ukupnim iznosima za svaku od opcija. Analizirajući količinu gore prikupljene informacije možemo dobiti dojam o tome koliko je preglednik korišten, te koliko informacija se pohranjuje.

Primjer ispisa za naredbu –Cookies

Izvlačenje kolačića daje nam detalje o aktivnosti preglednika. Pruža informacije o stvorenim sesijama, nazivu domene, nazivu hosta, vremenu isteka sesije, vrijednosti kolačića, je li HTTP ili HTTPS.

Primjer ispisa za naredbu –History uz parametar za selekciju u rasponu između dva navedena datuma (-range_history 2017-09-18 2018-05-23)

Još jedna korisna opcija alata je dohvaćanje spremljenih lozinka na pregledniku. Opcijom –Passwords dohvaćaju se sve spremljene lozinke profila, a na operacijskim sustavima GNU/Linux moguće je i dekodiranje lozinki.

Zaključak

Literatura

racfor_wiki/seminari/analiza_mogucnosti_i_koristenje_alata_dumpzilla.1673218154.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0