Los navegadores web son una fuente importante de información desde el punto de vista de un análisis forense, ya que en ellos podemos llegar a recuperar datos que posteriormente analizados podemos reconstruir lo sucedido.
En esta oportunidad vamos a analizar Firefox uno de los navegadores mas utilizados,existen muchos puntos en los cuales van a diferir de acuerdo al sistema operativo , lo cual dificulta el análisis hasta cierto punto, uno de los puntos a favor en este caso del forense es que todo se almacena con una tecnología, en este caso la mas utilizada por aplicaciones de teléfonos y por este navegador web Sqlite.
Firefox por defecto se instala en la siguientes direcciones (esto no es algo que este escrito en piedra el usuario puede decidir donde instalarlo)
Windows XP
C:\Documents and Settings\[User]\Application Data\Mozilla\ Firefox\Profiles\xxxxxxxx.default\
C:\Documents and Settingd\[user]\Local Settings\Application Data\ Firefox\Profiles\xxxxxxxx.default\Cache\
Windows 7 y 8
C:\Users\[User]\AppData]Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\Cache\
C:\Users\[User]\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default\
Linux
~/.mozilla/firefox/xxxxxxxx.default/
Mac
~/Library/Application Support/Firefox/Profiles/xxxxxxxx.default/
~/Library/Application Support/Mozilla/Extensions
~/Library/Caches/Firefox/Profiles/xxxxxxxx.default/Cache/
Las tareas básicas de un navegador
Los navegadores son las aplicaciones mas utilizadas ya que con ellas podemos acceder a recursos (paginas web) en Internet , navegar,enviar y recibir información , vamos a ver las principales características de un navegador.
- Interfaz de usuario : Toda la pantalla del navegador
- Motor del navegador : El que se encarga de interpretar los .css , .html
- Motor de Renderizado : se encarga formatear la información de tal manera que puedan ser visualizados en nuestro navegador
- Networking : se encargar de realizar las consultas mediante el protocolo HTTP
- Motor de Javascript : se encarga de interpretar el contenido de los archivos .js (javascript,jQuery,etc)
- Almacenamiento de la información : es la capa que se encarga de almacenar la información de nuestro navegador en el disco duro (nuestro objetivo).
Cuando uno ingresa una dirección URL en la barra de direcciones el navegador lo que hace es comunicarse con un servidor de de nombre (DNS) para resolver una dirección IP y acceder al servidor web apropiado, una vez conectado mediante los comandos del protocolo HTTP puede realizar consultas y recibir la información.
El navegador lee el codigo HTML , desplegando la información de los recursos solicitados,esos recursos pueden ser paginas html , pdf, archivos de diferentes extensiones o formatos, el navegador web almacena la información en su cache para reducir el uso de ancho de banda y la carga de recursos desde los servidores.
Ubicación del Cache en Firefox
Se almacenan metadatos , la ubicación del cache de firefox mozilla es la siguiente.
C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\Cache
C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\jumplistCache
C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\OfflineCache
C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\startupCache
En el directorio C:\Users\[User]\AppData\Local\Mozilla\Firefox\Profiles\xxxxxxxx.default\Cache se encuentran 4 archivos primarios que son los siguientes.
- _CACHE_001_ : almacenamiento de metadatos de bloques de 512 bytes
- _CACHE_002_ : almacenamiento de metadatos de bloques de 1204 bytes
- _CACHE_003_: almacenamiento de metadatos de bloques de 4096 bytes
- _CAHCE_MAP_: este archivo se encarga de cruzar la informacion de metadatos y datos
Por el momento concluimos con la parte teórica, ya que viene una segunda parte con un poco de teoría y una tool ;)
