Incident Response, Security and Forensics"

.

lunes, 1 de febrero de 2010

Sesiones restauradas en navegadores y (II)

Hola lectores,

Vamos a continuar con el post de sesiones restauradas.

RESTAURANDO LA SESION DE OPERA

Opera una vez instalado en el sistema, disponemos de la siguiente ruta y ficheros donde almacena las sesiones visitadas.

En Windows XP:

c:\documents and settings\Username\Local Settings\Aplicattion Data\opera\opera\sessions

En Windows 7:

c:\users\Username\AppData\Local\opera\opera\profile\sessions

Y especialmente a los ficheros 'autosave.win' y 'autosave.win.bak'

Estos ficheros están en formato RAW y es tan fácil como editar su contenido con el bloc de notas para obtener la información.


Destacamos la cabecera [session] que contiene la versión de navegador y el número de pestañas que tenia antes de cerrar la sesión.

La información que muestra es muy sugerente y si queremos restaurar las pestañas con todo su contenido podemos iniciar Opera y es el propio navegador quien nos suguiere la restauración entre otras opciones (así de sencillo).




RESTAURANDO LA SESION DE SAFARI

Una vez que este instalado el producto disponemos de las siguientes rutas

Windows XP:

C:\Documents and Settings\\Application Data\Apple Computer\Safari

Windows 7:

C:\Users\antoine\AppData\Roaming\Apple Computer\Safari

Mac OSX:
/Users//Library/Safari

Disponemos de una serie de ficheros con extensión '.plist' especialmente el que se llama 'LastSession.plist' que contiene la sesión a restaurar. Este es el fichero donde se va almacenando las sesiones visitadas.

Si lo editamos con un editor podremos ver los sitios web, posición , Nombre de la ventana, marcadores, etc.

CURIOSIDADES FORENSES DE SAFARI

Ya que estamos, me he puesto a revisar un poquito la estructura de Safari y esto es lo que he visto:

Safari dispone de dos rutas alternativas que contienen los ficheros '.plist' y ficheros con extensión '.db' ambos son auditables y se puede obtener información para un posterior análisis forense. Vamos a ver algunos ejemplos:

He utilizado la utilidad de foundstone 'bintext' para poder parsear de una forma comoda los ficheros en formato binario.

En el fichero 'lastsession.plist' contiene las pestañas a restaurar con su contenido exacto.


En la ruta "C:\Users\antoine\AppData\Roaming\Apple Computer\Safari" nos encontramos con el fichero 'History.plist' como podemos apreciar ha estado en un sitio de contactos

Editando con la utilidad 'SQLite Administrator' el fichero 'database.sqlite3.db' nos encotramos con la tabla 'feeds' con lo que podemos saber a que feeds está suscrito.


Otra forma curiosa que he visto y no distingo para que lo emplea Safari,  es la tabla autores que contiene el nombre y en algún caso el correo electrónico de los sitios visitados.


Estas y otras opciones también se pueden hacer desde el propio navegador una vez iniciado de forma que podemos reconstruir las páginas a las que se ha accedido, por ejemplo el top de páginas visitadas (recordamos que están en el fichero de TopSites.plist)


Y por último el historico (del fichero history.plist)


Espero que os sea de utilidad estos dos post como minímo habremos aprendido algo sobre otros navegadores que no son de la familia Microsoft, y quien sabe si en algún análisis forense nos puede ser de ayuda estos ficheros.

0 comentarios: