Blog

Neuigkeiten aus der branche
Timeline

Chromebook Datenspeicherorte

Hi! Hier ist Jessica Hyde, Director of Forensics hier bei Magnet Forensics. Ich bekam kürzlich eine E-Mail bezüglich der Datenspeicherorte für die Artefakte, über die ich in der Chromebook-Forensik-Präsentation beim Magnet Virtual Summit gesprochen habe, Ein Byte der Chromebook-Analyse.

Die Frage war nach einer zusammenfassenden Liste davon, wo die in der Präsentation genannten Artefakte zu finden sind. Ich dachte, dass es sinnvoll wäre, diese Liste hier als Referenzdokument zu teilen. Es gibt mehrere Speicherorte für jeden Artefakttyp.

Browser verlauf

home/shadow/(GUID)/mount/user/history

home/chronus/user/history

home/chronus/u-(GUID)/history

home/user/(GUID)/history

home/(username)/.config/chromium/Default/history

Browser Cache

home/shadow/(GUID)/mount/user/Cache

home/chronus/user/Cache

home/chronus/u-(GUID)/Cache

home/user/(GUID)/Cache

home/(username)/.config/chromium/Default/Cache/data_1

Browser History – Current Tabs

home/shadow/(GUID)/mount/user/Current Tabs

home/chronus/user/Current Tabs

home/chronus/u-(GUID)/Current Tabs

home/user/(GUID)/Current Tabs

home/(username)/.config/chromium/Default/Current Tabs

Browser History – Last Tabs

home/shadow/(GUID)/mount/user/Last Tabs

home/chronus/user/Last Tabs

home/chronus/u-(GUID)/Last Tabs;

home/user/(GUID)/Last Tabs;

home/(username)/.config/chromium/Default/Last Tabs

Browser Browserverlauf – Aktuelle Sitzungen

home/shadow/(GUID)/mount/user/Current Sessions

home/chronus/user/Current Sessions

home/chronus/u-(GUID)/Current Sessions

home/user/(GUID)/Current Sessions

home/(username)/.config/chromium/Default/Current Sessions

Browser Browserverlauf – Letzte Sitzungen

home/shadow/(GUID)/mount/user/Last Sessions

home/chronus/user/Last Sessions

home/chronus/u-(GUID)/Last Sessions

home/user/(GUID)/Last Sessions

home/(username)/.config/chromium/Default/Last Sessions

Downloads

Im Browserverlauf, Download-Tabelle, z.B. home/chronos/u-(GUID)/downloads/(filename)

UND

home/shadow/(GUID)/mount/user/Downloads

home/chronus/user/Downloads

home/chronus/u-(GUID)/Downloads

home/user/(GUID)/Downloads

home/(username)/Downloads

Außerdem

downloads_url_chains Tabelle im Browserverlauf

Erweiterungen

File Dateinamen sind GUIDS. Hinweis – nutzen Sie eine Suchmaschine für die GUID oder prüfen Sie die manifest json-Datei file(enthält Name und Einstellungen)

home/shadow/(GUID)/mount/user/Extensions

home/chronus/user/Extensions

home/chronus/u-(GUID)/Extensions

home/user/(GUID)/Extensions

home/(username)/Extensions

Erweiterungen – manifest.json

home/shadow/(GUID)/mount/user/Extensions/(extensionGUID)/(Version)/manifest.json

home/chronus/user/Extensions/(extensionGUID)/(Version)/manifest.json

home/chronus/u-(GUID)/Extensions/(extensionGUID)/(Version)/manifest.json

home/user/(GUID)/Extensions/(extensionGUID)/(Version)/manifest.json

home/(username)/Extensions/(extensionGUID)/(Version)/manifest.json

Erweiterungen – Sync App-Einstellungen

home/shadow/(GUID)/mount/user/Sync App Settings

home/chronus/user/Sync App Settings

home/chronus/u-(GUID)/Sync App Settings

home/user/(GUID)/Sync App Settings

home/(username)/Sync App Settings

Offline speicher

home/shadow/(GUID)/mount/user/gcache/v1/files

home/chronus/user/gcache/v1/files

home/chronus/u-(GUID)/gcache/v1/files

home/user/(GUID)/gcache/v1/files

home/(username)/gcache/v1/files

Hinweis – Die Dateien werden nach GUID statt nach Name gelistet und können mit gcache/v1/meta/*.ldb

Shell- verlauf

home/shadow/(GUID)/mount/user/.bash_history

home/chronus/user/.bash_history

home/chronus/u-(GUID)/.bash_history

home/user/(GUID)/.bash_history

home/(username)/.bash_history

Avatar

home/shadow/(GUID)/mount/user/Accounts/Avatar/Images/(emailadderess)

home/chronus/user/Accounts/Avatar/Images/(emailadderess)

home/chronus/u-(GUID)/Accounts/Avatar/Images/(emailadderess)

home/user/(GUID)/Accounts/Avatar/Images/(emailadderess)

home/(username)/Accounts/Avatar/Images/(emailadderess)

Ich hoffe, Ihnen hiermit ein schnelles Referenzdokument für Ihre Chromebook-Analyse bieten zu können. Wenn Sie nach der Erfassung von Chromebooks suchen, testen Sie Daniel Dickermans Methode, die unter DFIR Review gepostet wurde..

Haben Sie weitere Artefakt-Speicherorte in Ihrer Chromebook-Analyse gefunden? Teilen Sie sie gern mit mir per E-Mail unter jessica.hyde@magnetforensics.com.

Verwandte Ressourcen

Blog

Blog

Magnet im Rampenlicht: Wie die ICAC-Abteilung des LAPD Kinderausbeutung bekämpft

Einer meiner größten Motivationsfaktoren für den Erfolg von Magnet Forensics im Laufe der Jahre war, dafür zu sorgen, dass wir unsere Mission, der Gerechtigkeit zum Sieg zu verhelfen und unschuldige

July 26, 2023 • Etwa 3 Minuten Lesedauer
Blog

Blog

iOS – Tracking Bundle-IDs für Container, Shared Container und Plugins

In diesem Blog betrachtet Christopher Vance, wie man trackt, welche Anwendung dafür verantwortlich ist, Daten in iOS an einem bestimmten Ort abzulegen.

May 3, 2022 • Etwa 6 Minuten Lesedauer
Blog

Blog

Magnet Forensics kauft DME Forensics

Magnet Forensics kauft DME Forensics, ein führendes Unternehmen für Video- und Multimedia-Beweislösungen.

May 3, 2022 • Etwa 2 Minuten Lesedauer
Ressourcen-Center Startseite
Holo, transparent letter M

Subscribe today to hear directly from Magnet Forensics on the latest product updates, industry trends, and company news.

Beginnen Sie noch heute mit der Modernisierung Ihrer digitalen Ermittlungen.

Nach oben