Ovo je stara izmjena dokumenta!
Dumpzilla je digitalni forenzički alat za provođenje forenzičke istrage na internetskom pregledniku. Omogućuje analizu i izvlačenje zanimljivih informacija i artefakata internetskih preglednika Firefox, Iceweasel i Seamonkey. Alat Dumpzilla razvijen je u programskom jeziku Python3 te ga je moguće pokrenuti na operacijskim sustavima UNIX i Windows. Pokreće se pomoću naredbenog retka, te se pomoću jednostavnih naredbi može prilagoditi način pretrage, vizualizirati rezultati pretrage, te izdvojiti određeni sadržaj. Dumpzilla je dostupan za besplatno preuzimanje na web stranici razvojnog programera.
Dumpzilla može izvući niz različitih vrsta informacija iz preglednika. Cijeli popis vrsta informacija je sljedeći:
Za uspješnu instalaciju alata Dumpzilla prvo je potrebno imati instaliran Python 3.x. Zatim je potrebno preuzeti python skriptu sa sljedeće poveznice: https://github.com/Busindre/dumpzilla. Kako bi preuzeta skripta ispravno radila potrebno je i izvršiti sljedeću naredbu:
pip install python-magic-bin
Sada je potrebno pozicionirati se u direktorij gdje se nalazi preuzeta skripta. Skriptu pokrećemo sljedećom naredbom:
python dumpzilla.py
Pokretanjem ove naredbe ispisuju se informacije za korištenje alata.
Alat se koristi sljedećom naredbom:
python dumpzilla.py browser_profile_directory [Options]
Popis svih opcija prikazane su sljedećom tablicom:
Opcija | Rezultat opcije |
–All | Prikazuje sve osim DOM podataka. Ne izvlači sličice ili HTML 5 izvan mreže |
–Cookies [-showdom -domain <string> -name <string> -hostcookie <string> -access <date> -create <date> -secure <0/1> -httponly <0/1> -range_last -range_create <start> <end>] | Prikazuje informacije o kolačićima. Ovisno o odabranoj podopciji moguće je prikazivati samo određene podatke te filtrirati rezultate na temelju naziva domene, nazivu kolačića, datumu pristupa, datumu stvaranja… |
–Permissions [-host <string>] | Prikazuje informacije korisničkim postavkama i dopuštenjima. Moguće filtriranje po domeni. |
–Downloads [-range <start> <end>] | Prikazuje informacije o preuzimanjima, također pohranjenu povijest i popis preuzimanja direktorija. Moguće je filtrirajnje prema datumu pokretanja preuzimanja. |
–Forms [-value <string> -range_forms <start> <end>] | Prikazuje informacije o korištenim obrascima i napisanim podacima u njima. Moguće je filtriranje prema pisanom tekstu u obrascu te prema rasponu. |
–History [-url <string> -title <string> -date <date> -range_history <start> <end> -frequency] | Prikazuje informacije o povijesti pretraživanja. Moguće je filtriranje prema URL-u, web naslovu, po datumu pristupa, rasponu, te frekvenciji posjećivanja. |
–Bookmarks [-range_bookmarks <start> <end>] | Prikazuje pohranjenje stranice u oznakama. Moguće je prikazivati samo oznake u određenom vremenskom rasponu. |
–Thumbnails [-extract_thumb <directory>] | Izdvoji početne sličice preglednika ili nove kartice/prozora. |
–Range <start date> <end date> | Filtriranje kolačića, preuzimanja, obrasca, povijesti i oznake prema rasponu. |
–Addons | Prikaži dodatke/proširenja i putanje/URL-ove koji se koriste pregledniku. |
–Passwords | Prikaži informacije o pohranjenim korisnicima i njihovim lozinkama i dekodiraj ih. |
–Certoverride | Prikaži dodane SSL certifikate. |
–Session | Prikaži podatke o zadnjoj i pretposljednjoj sesiji. Zadnji webovi i korišteni obrasci. |
–Watch [-text <string>] | Prikaži u daemon načinu rada URL-ove i tekstualni oblik u stvarnom vremenu. |
S obzirom da Dumpzilla podržava samo internetske preglednike Firefox, Iceweasel i Seamonkey, ovdje će se primjeri analize provoditi na pregledniku Firefox na operacijskom sustavu Windows. Način korištenja i opcije su jednake kao i na Unix operacijskim sustavima, jedina razlika je lokacija direktorija profila preglednika.
Primjer lokacija profila preglednika Firefox:
Windows profil: “C:\Users\Korisnik\AppData\Roaming\Mozilla\Firefox\Profiles\\xxxx.default”
Unix profil: “/home/xx/ .mozilla/firefox/xxxx.default”
Pokretanjem naredbe uz opciju –All izvlače se sve informacije iz profila.
Dumpzilla će prikazati SHA256 hash svake korištene datoteke za izvlačenje informacija, te će na kraju prikazati sažetak s ukupnim iznosima za svaku od opcija. Analizirajući količinu gore prikupljene informacije možemo dobiti dojam o tome koliko je preglednik korišten, te koliko informacija se pohranjuje.
Primjer ispisa za naredbu –Cookies
Izvlačenje kolačića daje nam detalje o aktivnosti preglednika. Pruža informacije o stvorenim sesijama, nazivu domene, nazivu hosta, vremenu isteka sesije, vrijednosti kolačića, je li HTTP ili HTTPS.
Primjer ispisa za naredbu –History uz parametar za selekciju u rasponu između dva navedena datuma (-range_history 2017-09-18 2018-05-23)
Još jedna korisna opcija alata je dohvaćanje spremljenih lozinka na pregledniku. Opcijom –Passwords dohvaćaju se sve spremljene lozinke profila, a na operacijskim sustavima GNU/Linux moguće je i dekodiranje lozinki.
Za opciju izvlačenja spremljenih lozinki preglednika (–Passwords) postoji problem kod novijih verzija preglednika FireFox. Za izvlačenje lozinki Dumpzilla pretražuje bazu podataka pod imenom “signons.sqlite” što je vidljivo sljedećim isječkom koda.
Međutim, FireFox je promijenio način na koji sprema lozinke u pregledniku u novu datoteku koja je sada “logins.json”. Stoga kod novijih verzija Dumpzilla ne nalazi nikakve rezultate. Isto vrijedi i za opciju –Addons gdje Dumpzilla informacije o proširenjima traži u nepostojećoj datoteci “addons.sqlite”.