Incident Response, Security and Forensics"

.

martes, 19 de enero de 2010

Sesiones restauradas en navegadores (I)

Hola lectores.

En muchas ocasiones se puede restaurar una sesión que hayamos iniciado desde un navegador con objeto de acceder a las últimas páginas que se han navegado.

Esta opción es muy util desde el punto de vista del análsis forense ya que podemos tener la ultima vista que el usuario utilizo con su navegador, entre ellas las ventanas, cookies, tamaños, posiciones, historico y como no la actividad.

RESTAURANDO LA SESION DE FIREFOX

Viendo el wiki de Mozilla, describe exactamente:

"Despues de un reinicio forzado el espacio de trabajo que se recupera es:"

  • Ventanas y etiquetas
  • Posición, ancho y alto
  • Area de scroll
  • Historico
  • Cookies
  • Texto escrito en formularios
  • Descargas

En todo momento en Firefox, existe un fichero donde se va almacenando toda la información del navegador. Este fichero se encuentra en "C:\Users\Pedro\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default" donde xxxxx es el número de sesión y el fichero en cuestión es: 'sessionstore.js'

Si lo abrimos con el bloc de notas nos encontramos con muchisima información



Para poder aclaranos con todo esto, vamos hacer una cosa.

Seleccionamos todo y lo copiamos al portapapeles. A continuación nos vamos a esta URL (Es un editor on-line de JSON):

http://braincast.nl/samples/jsoneditor/

Y pegamos su contenido en el cuadro de texto en blanco. Pulsamos el botón de construir y tenemos a nuestra disposición un arbol con toda la estructura.




Navegando por el arbol nos podemos encontrar con información muy valiosa., pero este procedimiento de búsqueda puede ser tedioso por lo que vamos a emplear otra técnica.

  1. Cierro firefox si está abierto y renombro el fichero ssessionstore.js a sessionBAK.bak
  2. Inicio Firefox y la aplicación de session manager reconoce que hay un apagado (crash) incorrecto y me pregunta si quiero restaurarlo, a lo que evidentemente digo que si. De esta forma obtengo una visión identica de lo que estaba haciendo el usuario.


RESTAURANDO LA SESION DE EXPLORER 8


Muy similar a la anterior, y muy significativa las rutas de almacenamiento.


Windows XP


c:\documents and settings\Username\Local Settings\Aplicattion Data\Microsoft\Internet Explorer\Recovery\Last active


Vista y Windows 7


c:\users\Username\AppData\Local\Microsoft\Internet Explorer\Recovery\Last active


También veremos que hay una carpeta que se llama 'active' de la cual va guardando los ficheros de almacenamiento. Cuando se cierra el navegador mueve de 'active' a 'Last Active'.


Los ficheros de almacenamiento tienen la siguiente nomenclatura:


"{GUID}.dat" y "RecoveryStore.{GUID}.dat"




Estos ficheros están almacenados en formato binario, para visualizarlos empleamos un editor hexadecimal o con la utilidad Structured Storage Viewer con la que podemos ver la información como la que muestra la pantalla siguiente.









Otra forma correcta de hacerlo es copiar estos ficheros en una máquina virtual e iniciar el internet explorer, el cual nos devolvera la sesión restaurada.


También de una forma muy sencilla podemos poner en la URL del navegador la siguiente sintaxis:


about:tabs


La cual nos mostrará la siguiente pantalla





En la siguiente entrega veremos como se hace con Opera y Safari

4 comentarios:

Espero con ansias, ver como hacerlo en Opera :D

SAludos ;)

Hola que tal, podrias publicar tambien si se puede hacer con google chrome. Y tambien habia leido que teniendo acceso a un archivo en google chrome podias ver todo lo que se ha escrito, y de ahi sacar contraseñas para analizar e-mails u otro tipo de cuentas. pero no se si ya solucionaron el problema de chrome, yo lo intente y no encontre nada de mi informacion personal.

Saludos, felicidades por tu blog

@Axl:

Quizas te interese este articulo:

https://blogs.sans.org/computer-forensics/2010/01/21/google-chrome-forensics/

Suerte,

@Hecky: Lo estoy preparando, en breves sale del horno

@Axl: Tengo un post que ya habla de ello, pero como bien dice nuestro amigo Vlan7, la información fluye por la red.

Gracias a todos.