Digitale Forensik: Artefaktprofil – Google Chrome
ANWENDUNGSNAME: Google Chrome
KATEGORIE: Bezogen auf das Internet
ÄHNLICHE ARTEFAKTE: Chrome Webverlauf, Chrome Webbesuche, Chrome Sync-Daten, Chrome Sync-Konten, Chrome zerlegte Sitzung/Tabs, Chrome letzte Tabs, Chrome aktuelle Tabs, Chrome letzte Sitzung, Chrome aktuelle Sitzung, Chrome Top-Seiten, Chrome Logins, Chrome Suchen, Chrome Schlüsselwort Suchbegriffe, Chrome Verlaufsindex, Chrome FavIcons, Chrome Downloads, Chrome Cookies, Chrome Cache-Aufzeichnungen, Chrome Lesezeichen, Chrome archivierter Webverlauf, Chrome archivierte Schlüsselwort Suchbegriffe, Chrome Autofill, Chrome Autofill-Profile, Chrome gespeicherte Kreditkarten
BETRIEBSSYSTEME: Windows, Android, iOS
SPEICHERORT DER QUELLE:
Windows – %root%\Users\%username%\AppData\Local\Google\Chrome\User Data\Default
Android – data\data\com.android.chrome\app_chrome\DefaultiOS – %root%\Library\Application Support\Google\Chrome\Default
Wichtigkeit für Ermittler
Mit 65,9 % aller Browsernutzung im September 2015 ist Google Chrome der beliebteste Browser in der Anwendung heutzutage. Es ist erhältlich für alle großen Plattformen und es ist sehr wahrscheinlich, dass Chrome Ermittlern in einer ihrer Ermittlungen, wenn nicht in den meisten, begegnet.
Wie die meisten Browser speichert Chrome viele seiner Verlaufsdaten in einer Datenbank, während Cache-Daten wie Bilder, Webseiten, Skripte, Cookies etc. in einem Ordner in der Nähe gespeichert werden. Der Verlauf wird meistens in SQLite-Datenbanken unter dem AppData-Ordner des Nutzers in Windows gespeichert. Bei iOS und Android wird ein ähnliches Format verwendet. Neben Verlauf, Cache, Lesezeichen und Cookies, die man bei den meisten Browsern findet, speichert Google Chrome Sync-Daten, Tab-/Sitzungsdaten, Login-Informationen sowie viele andere Beweisquellen, die für Ermittler nützlich sein können.
Google bietet außerdem Chromium als Open-Source-Framework an, das viele andere Drittanbieter-Browser als Backend nutzen. Das erklärt, warum Ermittler zwischen Chrome und anderen Browsern Ähnlichkeiten darin feststellen können, wie die Daten gespeichert werden und was für ihre Ermittlung zugänglich ist. Chrome nutzt die Blink-Engine, die mit bestimmten Versionen von Opera, Vivaldi und 360 Safe-Browsern sowie anderen geteilt wird. Während diese zwar für den Nutzer visuell unterschiedlich sind, sind viele dieser Browser im Backend gleich. Von einem Analyse-Standpunkt betrachtet ist das großartig, da sie auch gleich gespeichert werden. Doch sobald man beginnt, gelöschte Aufzeichnungen zu zerlegen, kann die Unterscheidung, von welchem Browser die Daten stammen, schwierig sein. Deshalb sieht man oft zerlegte Aufzeichnungen für Chrome/Opera/360 zusammengelegt.
Wiederherstellung von Google Chrome mit Magnet Forensics
Browserverlauf
Die Haupt-Beweisquelle für Google Chrome ist die Verlaufs-Datenbank, die unter dem Chrome-Nutzerprofil gespeichert wird. Hier gibt es mehrere Interessensgebiete für Ermittler:
URLs – Die URLs-Tabelle enthält den grundlegenden Browserverlauf für Chrome. Darunter eine einzelne Instanz für alle besuchten URLs, einen Zeitstempel für die zuletzt besuchte, und einen Zähler dafür, wie oft sie besucht wurde.
AUFRUFE – Die Aufrufe-Tabelle gibt es nur bei Browsern, die Chromium nutzen. Sie enthält mehrere Aufzeichnungen für dieselbe URL für jedes Mal, das die Seite besucht wird. Ein Nutzer kann mehrere Aufzeichnungen für „magnetforensics.com“ haben und die Aufrufe-Tabelle listet jeden Aufruf zusammen mit einem zusätzlichen Zeitstempel für jeden Aufruf der Seite auf. Der positive Wert hierzu ist der zusätzliche Zeitstempel, doch die Herausforderung ist, dass die tatsächliche URL nicht in dieser Tabelle aufgelistet wird — nur ein Hinweis auf die passende Aufzeichnung in der oben genannten URLs-Tabelle. Das bedeutet, dass bei der manuellen Analyse der Daten die beiden Tabellen zusammengelegt werden müssen und jedes Tool, das gelöschte Aufzeichnungen zerlegt, die passende Aufzeichnung in einer separaten Tabelle finden muss, da es ansonsten zu unvollständigen Ergebnissen kommen kann.
VISIT_SOURCE – Die visit_source-Tabelle wurde erst in späteren Versionen von Chrome hinzugefügt, doch sie erlaubt eine Identifikation der Herkunft einer bestimmten URL. Nur weil eine URL in der Datenbank gelistet wurde, bedeutet das nicht zwangsläufig, dass sie auf einem bestimmten Computer aufgerufen wurde. Viele Browser, auch Chrome, erlauben die geräteübergreifende Synchronisation von Daten, sodass das Surferlebnis einheitlich ist, egal, ob man vom Computer oder einem Mobilgerät aus browst. Die visit_source-Tabelle muss mit den URLs- und Aufrufe-Tabellen zusammengelegt werden, um den gesamten Verlauf inklusive der Quelle einer bestimmten URL zu umreißen (ob sie lokal aufgerufen wurde, von einem anderen Ort aufgerufen oder aus einem anderen Browser importiert wurde etc.)
Chrome Sync-Daten, Chrome Sync-Konten
Google synchronisiert Daten über mehrere Geräte hinweg, sodass Nutzer ihr Surferlebnis über all ihre Geräte wie Computer, Handys, Tablet etc.hinweg vereinheitlichen können. So können Ermittler Lesezeichen, Verlauf und andere Surf-Daten sehen, die vielleicht auf anderen Geräten, nicht zwingend dem untersuchten, erstellt wurden.
Zusammen mit den Quellverlaufs-Informationen gibt es eine zusätzliche wertvolle Datenbank, die Ermittler nutzen sollten, namens SyncData.sqlite. Diese enthält zusätzlichen Sync-Daten wie Kontoinformationen und Geräte, die über das Google-Konto des Nutzers synchronisiert werden.
Zwischengespeicherter Browserverlauf
Die meisten Web-Browser speichern Inhalte von den aufgerufenen Seiten zwischen, z.B. Bilder, Text, html, javascript etc. So sollte es vermieden werden, dieselben Bilder und Inhalte wiederholt herunterzuladen, wenn dieselben Seiten oft aufgerufen werden. Chrome speichert diese zwischengespeicherten Inhalte und Informationen in drei Dateitypen: index-, data_X- und f_XXXXXX-Dateien, alle unter den Cache-Ordnern. Die data_X-Dateien speichern zwischengespeicherte Inhalte, wenn die Daten klein sind, doch wenn es sich um ein größeres Bild oder andere Inhalte handelt, werden sie als f_XXXXXX gespeichert.
Cookies
Chrome-Cookies sind wie bei allen anderen Browsern. Sie werden beim Surfen mit dem Chrome-Browser erstellt.
Google Analytics (GA)-Cookies unterscheiden sich leicht und können in jedem Browser, nicht nur Chrome, vorkommen. Sie werden von Seiten, die Google Analytics nutzen, um ihre Website-Statistiken und Nutzungsinformationen zu verfolgen, erstellt. GA-Cookies können für Ermittler wertvolle Informationen enthalten.
Incognito/Privates Surfen
Im Gegensatz zu einigen Browsern mit privatem Surfmodus/-Feature schreibt Chrome den Verlauf nie auf der Disk. Das bedeutet, dass die einzige Quelle von Surf-Beweisen im Arbeitsspeicher oder im weiteren Sinne im Pagefile oder den Hibernation-Dateien zu finden sind, wenn der Nutzer den Incognito-Modus genutzt hat. Incognito-Verläufe aus dem Arbeitsspeicher zu zerlegen, ist nicht sonderlich kompliziert, solange man die Daten tatsächlich von einem laufenden System erfassen kann. Arbeitsspeicher ist flüchtig und die Daten gehen verloren, wenn das System ausgeschaltet wird.
Zusätzliche Artefakte von Interesse
Chrome Aktuelle Sitzung/Tabs – Wenn Sie ein System untersuchen, das noch eine aktive Sitzung hat, speichert Chrome hier die Surfaktivitäten unter Aktuelle Sitzung und wenn mehrere Tabs offen sind, werden sie unter Aktuelle Tabs gespeichert. Hier finden Sie eine gute Übersicht darüber, was jeweils enthalten ist:
- Aktuelle Sitzung (enthält die Daten aus Formularen auf den Seiten der aktuellen Sitzung)
- Aktuelle Tabs (enthält eine Liste von URLs für die Tabs in der aktuellen Sitzung)
- Letzte Sitzung (dasselbe wie Aktuelle Sitzung, jedoch für die vorherige Sitzung)
- Letzte Tabs (dasselbe wie Aktuelle Tabs, jedoch für die vorherige Sitzung)
Chrome Letzte Sitzung/Tabs – Chrome speichert hier die vorherigen Sitzungen und Tabs – sodass der Nutzer nach dem Schließen von Chrome die letzte Sitzung und Tabs erneut öffnen kann, wie sie gespeichert wurden.
Chrome Top-Seiten – Chrome zeigt dem Nutzer seine meistbesuchten Seiten in Panels auf einer Startseite, was es dem Nutzer ermöglicht, schnell auf eine oft besuchte Seite zu klicken. Wir stellen die Daten zu jeder URL wieder her, die als „Top-Seite“ in Chrome aufgelistet wird.
Chrome Logins– Chrome speichert Nutzername und Passwörter für einige Seiten, sodass dies wiederhergestellt werden kann. Oft sind die Passwörter verschlüsselt, sodass Sie diese nicht bekommen, es sei denn, Sie untersuchen ein laufendes System. Diese Daten sind erhältlich, wenn sie vom Nutzer gespeichert wurden.
Chrome Suchen/Schlüsselwort Suchbegriffe – Chrome speichert die auf einer Webseite mithilfe des „Suche“-Balkens durchgeführten Suchen. Wenn ein Nutzer also STRG+F drückt und nach einem Schlüsselwort auf einer Webseite sucht, wird dies hier gespeichert. Je nach Browser-Einstellungen wird dies über Sitzungen hinweg gespeichert oder nicht.
Chrome FavIcons – Wenn Sie in Chrome einen Favoriten/ein Lesezeichen erstellen, haben einige Webseiten ein Icon, das mit der URL zusammen gespeichert wird. FavIcons listet die Icons für die Nutzer auf.
Chrome Downloads – Hierbei handelt es sich um die Downloads, die der Nutzer über den Chrome-Browser initiiert hat.
Chrome Lesezeichen – Wie in den meisten Browsern sind Lesezeichen gespeicherte Seiten, die entweder der Nutzer oder die Anwendung erstellt, um schnell häufig besuchte Seiten zu besuchen.
Chrome Autofill/Autofill-Profile – Chrome speichert Felddaten, die der Nutzer zuvor für bestimmte Webseiten eingegeben hat, hier. Wenn Sie z.B. „magnetforensics.com“ besuchen und sich ins Kundenportal einloggen, speichern Browser automatisch Ihren Nutzernamen (oder andere Details), damit Sie ihn nicht jedes Mal, wenn Sie die Seite besuchen, eingeben müssen. Diese Daten werden am Autofill-Speicherort gespeichert und können hilfreich sein, um die Nutzernamen und andere Details, die der Nutzer auf verschiedenen Seiten eingegeben hat, wiederherzustellen.