Ana Sayfa Slider Siber Güvenlik Son Dakika

Mozilla Firefox Adli İncelenmesi – Forensics

Mozilla Firefox Adli İncelenmesi – Forensics

Merhabalar herkese, bu yazımda Mozilla Firefox tarayıcısının adli incelenmesine değineceğim. İlk olarak tarayıcılar nasıl çalışır, hangi verileri depolar ve hangi klasörlere depolar bunlardan bahsedeceğim, ardından da nasıl incelenir buna değineceğim. Keyifli okumalar dilerim.

Tarayıcı Analizi

Tarayıcı analizinde elde edilen bilgiler çok önemli olabilmektedir. Özellikle zararlı aktivitelerin olduğu cihazlarda bu verilerin incelenmesi önem arz etmektedir. Çünkü genel olarak zararlı yazılımlar bilgisayarınızdan veri alıp farklı bir sunucuya yönlendirebilir veya bilgisayarınızdaki dosyaları şifrelemek için anahtar değerini farklı bir sunucudan alabilir. Bu gibi durumlarda tarayıcı analizi önemli bir hal almaktadır.Peki tarayıcı analizinde ne gibi verilere ulaşabiliriz, haydi gelin buna değinelim.

Tarayıcı Yapıları

Tarayıcılar hangi websitelerinde gezinildiğini, hangi dosyaları indirildiğini, favicon(websitesinde ‘title dediğimiz sekme kısmındaki yazının yanında bulunan küçük resim), otomatik tamamlanan veriler, yer işaretleri, favoriler ve sık ziyaret edilenler, giriş bilgileri ve eklenti gibi verileri depolamaktadır.

Bu bahsettiğimiz veriler her tarayıcıda farklı bir klasörde saklanmaktadır ancak bugünkü konumuz Mozilla Firefox olacaktır.

Mozilla Firefox İncelenmesi

Üstte saydığımız verilerin depolandığı dosya yolu:

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\

C:\Users\ user \AppData\Local\Mozilla\Firefox\Profiles\[profileID].default\
Profile_path

Yukarıdaki dosya yoluna gittiğimizde inceleyeceğimiz veriler elimizin altında olacaktır.

 

Yer İşaretleri (Bookmarks – SQLite)

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\places.sqlite

Places.sqlite tarayıcıda yer işaretlerinin, arama geçmişinin, indirilenler ve ziyaret edilen URL’ler kaydediliği yerdir. Bu dosyayı DB Browser for SQLite isimli uygulama ile açabilir ve okuyabiliriz.

Bookmarks and cache-1

Veritabanı yapısında hangi tabloların olduğu gibi bilgiler yer almaktadır. Burada toplam 19 adet tablo yer almaktadır ve hepsi moz_ şeklinde başlamaktadır. Tablolardaki verilere göz atmak için Veriyi Görüntüle sekmesine tıklayalım.

Bookmarks and cache-2

Tablolar kısmına tıkladığımızda incelemek istediğimiz tabloyu seçebiliriz.

Bookmarks tablosunda, hangi isimle kayıt ettiğimizi, hangi tarihte eklendiğini, ne zaman değiştirildiğini verileri yer almaktadır.

Bookmarks and cache-3

DateAdded ve LastModified isimli kolonlardaki tarih bilgileri Epoch time ile şifrelenmiştir. Bunları Esqsoft isimli sitede çözebiliriz.

epoch-time

 

Arama Geçmişi (Input History – SQLite)

Input geçmişinden kastımız, Firefox’ta arattığı kelimelerdir. Arama kısmına yazmış olduğu kelimeler places.sqlite dosyasının içerisindeki moz_inputhistory isimli tabloda yer almaktadır.

InputHistory-1
InputHistory-1

İndirilenler (Downloads – SQLite)

Firefox üzerinde hangi dosyaların, boyutunun ve indirilme yerinin nerede olduğu gibi verileri tutan tablonun ismi moz_annos’tur.

Anno_attribute_id kolonunda id değeri 1 olan dosyanın nereye indirilip kaydedildiği verisini tutmaktadır. İd değeri 2 olan ise dosyanın yükleme tarihinin bitiş zamanını ve dosyanın boyutu gibi verileri göstermektedir.

Downloadhistory-1
Downloadhistory-1

Nereden indirildiğine dair URL bilgileri Ziyaret Edilen URL’ler başlığı altındadır.

 

Ziyaret Edilen URL’ler (URL History – SQLite)

Ziyaret ettiğiniz URL’ler places.sqlite dosyasındaki moz_places isimli tabloda yer almaktadır.

URLHistory-1
URLHistory-1

Burada indirilen dosyaların nereden indirildiğini de öğrenebiliriz. Bunun için url kolonundaki filter’dan yararlanabiliriz. Örnek olarak ckeditor ismli zip dosyasının indirilme yerini bulabilmek için, url filtrelemesine ckeditor yazabiliriz. Yazdığımızda ckeditor ile ilgili girilmiş bütün URL’ler listelenmektedir.

URLHistory-2
URLHistory-2

Girilen sitenin açıklama bilgileri, thumbnail görseli gibi bilgiler yer almaktadır.

URLHistory-3
URLHistory-3

 

Yer İşaretleri Yedekleri (Bookmarks – json)

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\bookmarkbackups\

Yer işaretlerinin yedeği alınmış ise Firefox dosyalarının içerisinde bookmarkbackups isimli klasörde jsonlz4 dosya formatında dosyalar olacaktır. Bu dosyaları direkt olarak okuyamayız bu yüzden okuyabileceğimiz bir formata dönüştürmemiz gerekmektedir. Bunu da mozlz4-edit isimli eklenti ile yapabiliriz. Kullanımı oldukça kolaydır. İlk olarak eklentiyi kuralım ve eklentiye tıklayalım. Aşağıdaki gibi bir arayüze yönlendirecektir bizleri.

Bookmarksbackup1
Bookmarksbackup1

Sonrasında sol üstte bulunan Open File isimli butona tıklayalım ve backup dosyamızı ekleyelim. Ekledikten sonra bizlere json formatında, okunabilir değerleri gösterecektir.

Bookmarksbackup2
Bookmarksbackup2

 

Cookies (SQLite)

Cookie yani çerez, bir websitesini ziyaret ettiğimizde, websitesi tarafından bilgisayarımıza depolanan  küçük verilerdir. Bir websitesinde form doldurduğumuzda eğer çerez ayarlarında bu bilgilerin tutulmasına izin verdiyseniz, bu bilgiler siz bir süre sonra tekrar bu siteye girdiğinizde, siz doldurmadan kendisi o verileri dolduracaktır.

Depolanma şekli tarayıcılara göre farklılık göstermektedir, örnek olarak Firefox tek bir dosya olarak tutarken diğer tarayıcılarda farklı farklı dosyalar halinde tutulabilmektedir.

Dosya yolu:

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\cookies.sqlite
Cookies1
Cookies1
Cookies2
Cookies2

moz_cookies isimli tabloya baktığımızda, hangi sitede hangi değerde cookie olduğu bilgisi yer almaktadır.

Cookies3
Cookies3

 

Favicon (SQLite)

Sitelerde title(başlık) kısmının solunda yer alan küçük resimlere favicon denmektedir. Giriş yapılan websitelerinin favicon URL yollarını kaydetmektedir.

Favicon-1
Favicon-1

Dosya yolu:

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\favicon.sqlite
Favicon-2
Favicon-2

Favicon’ların URL yollarını, boyutlarını tablolardan erişebiliriz.

Favicon-3
Favicon-3

Moz_pages_w_icons isimli tabloda ise, hangi URL’in favicon’u kayıtlı bunu göstermektedir.

Favicon-4
Favicon-4

 

Eklentiler (Extension – Json)

Tarayıcıda eklemiş olduğumuz eklentileri de depolanmaktadır.

Dosya yolu:

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\extension.json
Extensions-1
Extensions-1

Json dosyasını açtığımızda karışık bir şekilde gözükmektedir.

Extensions-2
Extensions-2

Okunabilir yapmak için Code Beautify isimli siteyi kullanabiliriz. JSON formatındaki kodu sol tarafa yapıştırdıktan sonra Beautify butonuna tıkladığımızda, kod okunabilir bir hale geçmektedir.

Extensions-3
Extensions-3

Eklentinin ismi, versiyonu, id değeri, aktif mi pasif mi gibi bilgiler yer almaktadır.

 

Form Giriş Bilgileri (Form History – SQLite)

Web sitelerinde formlardaki input alanlarına girdiğimiz verilerin kaydedildiği kısımdır. Bütün veriler kaydedilmemektedir, bilginize.

FormHistory-1
FormHistory-1

Input alanının name değeri fieldname’de tutulmaktadır, value değeri kaydedilen veriyi saklamaktadır.

 

Giriş Bilgileri (Login – JSON)

Hangi websitelerine giriş yaptığımızın bilgilerinin tutulduğu dosya logins.json’dur.  Ayrıca key4.db isimli dosyanın içerisinde, password bilgileri yer almaktadır.

Dosya yolu:

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\logins.json

JSON dosyası okunabilir durumda değil, yukarıda da json dosyasını okunabilir hale getirmiştik. Aynı siteyi kullanarak okunabilir hale getirebiliriz.

Login1.png
Login1.png
Login2
Login2

 

İzinler (Permissions – SQLite)

Websitelerine girdiğimizde bizlerden bildirimleri masaüstünde gösterebilmeleri için izin ve çerezler için izin istemektediler. Bunlarda permissions.sqlite isimli dosya da kaydedilmektedir.

Dosya yolu:

C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\[profileID].default\permissions.sqlite
Permissions-1
Permissions-1

Permissions kolunundaki sayılar 1’den 6’ya kadar gitmektedir fakat tam olarak açıklaması bulunmamaktadır.

 

Evet yazımın sonuna geldim, umarım açıklayıcı bir şekilde anlatabilmişimdir, iyi günler dilerim.

Kaynakça

https://play.google.com/store/books/details?id=r5xIEAAAQBAJ

https://resources.infosecinstitute.com/topic/browser-forensics-firefox/

Mozilla Firefox Forensics – Carve Hidden Artifacts

https://nasbench.medium.com/web-browsers-forensics-7e99940c579a

https://book.hacktricks.xyz/forensics/basic-forensic-methodology/specific-software-file-type-tricks/browser-artifacts

3 Replies to “Mozilla Firefox Adli İncelenmesi – Forensics

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir