Análisis forense de Mozilla Firefox 3.X.
Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.
Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.
Los archivos de bases de datos que utiliza son los siguientes:
- content-prefs.sqlite: Las preferencias individuales para páginas.
- downloads.sqlite: Historial de descargas.
- formhistory.sqlite: Contiene los formularios memorizados.
- permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
- cookies.sqlite: Las Cookies.
- places.sqlite: Los datos de los marcadores e historial de navegación.
- search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
- webappsstore.sqlite: Almacena las sesiones.
Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:
- Linux : “/home/»nombre usuario»/.mozilla/firefox/
/” Windows XP: “C:Documents and Settings»nombre usuario»Application DataMozillaFirefoxProfiles»carpeta perfil»” Windows Vista: “C:Users»nombre usuario»AppDataRoam ingMozillaFirefoxProfiles»carpeta perfil»”
Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que
Descarga de herramientas SQLite:
http://www.sqlite.org/download.html
Documentación de herramientas SQLite:
http://www.sqlite.org/sqlite.html
También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.
Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.
Más información y descarga de Firefox 3 Extractor:
http://www.firefoxforensics.com/f3e.shtml
También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.
Interesante artículo. Me gusta más el primer método aunque el segundo es más rápido.
También existen herramientas anti-forenses como el addon SQLite Manager (https://addons.mozilla.org/es-ES/firefox/addon/5817) que sirve para modificar las bases de datos aunque esta herramienta también permite auditar dichas base.
Saludos y gracias por el artículo.
Muy bueno e interezante no sabia nada de esto pero gracias a este articulo aprendi muchas gracias
Por eso comfigure mi Firefox para que borre todos los datos privados al cerrarse, aunque aun asi, siempre hay maneras de coseguir esta clase de informacion.
Muy interesante, muchas gracias
pero entonces al borrar la informacion ya no se puede hacer este analisis forense?
andres
Muy bueno el articulo.
Ademas queria decirte que te lo saqué para el foro de unioninternautas.com.ar ( http://www.unioninternautas.com.ar/foro/viewtopic.php?f=12&t=3680 ) con un enlace a tu blog citandolo como fuente.
Eduardo