Analisis Forense de Mozilla Firefox 3.x.
Para un análisis forense de Mozilla Firefox 3.X es necesario saber, cómo y dónde, el navegador guarda la información del historial de navegación, correspondiente a cada usuario del sistema.
Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.
Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas información de interés para un análisis forense.
Los archivos de bases de datos que utiliza son los siguientes:
- content-prefs.sqlite: Las preferencias individuales para páginas.
- downloads.sqlite: Historial de descargas.
- formhistory.sqlite: Contiene los formularios memorizados.
- permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
- cookies.sqlite: Las Cookies.
- places.sqlite: Los datos de los marcadores e historial de navegación.
- search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
- webappsstore.sqlite: Almacena las sesiones.
Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:
- Linux : “/home/”nombre usuario”/.mozilla/firefox//”
- Windows XP: “C:Documents and Settings”nombre usuario”Application DataMozillaFirefoxProfiles”carpeta perfil””
- Windows Vista: “C:Users”nombre usuario”AppDataRoamingMozillaFirefoxProfiles”carpeta perfil””
Hay que tener en cuenta un factor muy importante para realizar la línea de tiempo en este análisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronología se necesita entender este formato. PRTime es un formato de tiempo de una longitud de 64-bit, que consiste en el incremento en microsegundos desde las 0:00 UTC del 1 de enero de 1970. Un ejemplo PRTime es: “1221842272303080” que se descifraría “16:37:52 19/09/2008 UTC”.
Para extraer los datos de estas bases de datos se pueden usar herramientas para bases de datos SQLite, ver sus contenidos y transferirlos a archivos usando lenguaje SQL. Aunque es un método más lento, es más transparente y se puede utilizar el sistema operativo que se prefiera, porque estas herramientas están disponibles para: Windows, Linux y Mac OS X.
Descarga de herramientas SQLite:
Documentación de herramientas SQLite:
http://www.sqlite.org/sqlite.html
También podemos usar una herramienta automatizada llamada Firefox 3 Extractor, que nos permite:
Extraer todos los datos de bases de datos SQLite de Firefox 3.X, convertirlos en CSV y descifrar las fechas.
Crear un informe del historial de navegación sacado de “places.sqlite” en formato CSV o HTML.
Descifrar el PRTime.
Firefox 3 Extractor solo está disponible para la plataforma Windows. Para usar esta herramienta hay que copiar los archivos *.sqlite del usuario a analizar en la carpeta del programa.
Más información y descarga de Firefox 3 Extractor:
También hay que tener en cuenta que este análisis es intrusivo y previamente hay que realizar la adquisición de imagen del disco y la recuperación de datos que hayan sido borrados.
