Análisis forense de Mozilla Firefox 3.X.

Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.

Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.

Los archivos de bases de datos que utiliza son los siguientes:

  • content-prefs.sqlite: Las preferencias individuales para páginas.
  • downloads.sqlite: Historial de descargas.
  • formhistory.sqlite: Contiene los formularios memorizados.
  • permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
  • cookies.sqlite: Las Cookies.
  • places.sqlite: Los datos de los marcadores e historial de navegación.
  • search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
  • webappsstore.sqlite: Almacena las sesiones.

Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:

  • Linux : “/home/»nombre usuario»/.mozilla/firefox//”
  • Windows XP: “C:Documents and Settings»nombre usuario»Application DataMozillaFirefoxProfiles»carpeta perfil»”
  • Windows Vista: “C:Users»nombre usuario»AppDataRoamingMozillaFirefoxProfiles»carpeta perfil»”


Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que
consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: “1221842272303080” que se descifraría “16:37:52 19/09/2008 UTC”.

Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un método más lento, es más transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas están disponibles para: Windows, Linux y Mac OS X.

Descarga de herramientas SQLite:
http://www.sqlite.org/download.html

Documentación de herramientas SQLite:
http://www.sqlite.org/sqlite.html

También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:

Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas.
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.

Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.

Más información y descarga de Firefox 3 Extractor:
http://www.firefoxforensics.com/f3e.shtml

También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.

5 comentarios en “Análisis forense de Mozilla Firefox 3.X.

  • el agosto 27, 2009 a las 7:50 pm
    Permalink

    Interesante artículo. Me gusta más el primer método aunque el segundo es más rápido.
    También existen herramientas anti-forenses como el addon SQLite Manager (https://addons.mozilla.org/es-ES/firefox/addon/5817) que sirve para modificar las bases de datos aunque esta herramienta también permite auditar dichas base.
    Saludos y gracias por el artículo.

    Respuesta
  • el agosto 28, 2009 a las 12:14 am
    Permalink

    Muy bueno e interezante no sabia nada de esto pero gracias a este articulo aprendi muchas gracias

    Respuesta
  • el agosto 28, 2009 a las 10:26 pm
    Permalink

    Por eso comfigure mi Firefox para que borre todos los datos privados al cerrarse, aunque aun asi, siempre hay maneras de coseguir esta clase de informacion.

    Respuesta
  • el agosto 31, 2009 a las 3:42 am
    Permalink

    Muy interesante, muchas gracias
    pero entonces al borrar la informacion ya no se puede hacer este analisis forense?

    andres

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: