Actualités du secteur
Timeline

Emplacements des données Chromebook

Bonjour ! Je suis Jessica Hyde, Directrice de la criminalistique chez Magnet Forensics. J’ai récemment reçu un e-mail concernant les emplacements des données pour les artéfacts dont j’ai parlé lors de la présentation de la criminalistique sur Chromebook au Magnet Virtual Summit, S’attaquer à l’analyse de Chromebook.

L’expéditeur de cet e-mail me demandait une liste récapitulative des emplacements des artéfacts abordés dans cette présentation. J’ai pensé qu’il pourrait être utile de partager ici cette liste en tant que document référence. Plusieurs emplacements sont indiqués pour chaque type d’artéfact.

Historique du navigateur

home/shadow/(GUID)/mount/user/history

home/chronus/user/history

home/chronus/u-(GUID)/history

home/user/(GUID)/history

home/(username)/.config/chromium/Default/history

Historique du navigateur

home/shadow/(GUID)/mount/user/Cache

home/chronus/user/Cache

home/chronus/u-(GUID)/Cache

home/user/(GUID)/Cache

home/(username)/.config/chromium/Default/Cache/data_1

Historique du navigateur – Onglets actuels

home/shadow/(GUID)/mount/user/Current Tabs

home/chronus/user/Current Tabs

home/chronus/u-(GUID)/Current Tabs

home/user/(GUID)/Current Tabs

home/(username)/.config/chromium/Default/Current Tabs

Historique du navigateur – Derniers onglets

home/shadow/(GUID)/mount/user/Last Tabs

home/chronus/user/Last Tabs

home/chronus/u-(GUID)/Last Tabs;

home/user/(GUID)/Last Tabs;

home/(username)/.config/chromium/Default/Last Tabs

Historique du navigateur – Sessions actuelles

home/shadow/(GUID)/mount/user/Current Sessions

home/chronus/user/Current Sessions

home/chronus/u-(GUID)/Current Sessions

home/user/(GUID)/Current Sessions

home/(username)/.config/chromium/Default/Current Sessions

Historique du navigateur – Dernières sessions

home/shadow/(GUID)/mount/user/Last Sessions

home/chronus/user/Last Sessions

home/chronus/u-(GUID)/Last Sessions

home/user/(GUID)/Last Sessions

home/(username)/.config/chromium/Default/Last Sessions

Téléchargements

Dans l’historique du navigateur, le tableau des téléchargements, p. ex. home/chronos/u-(GUID)/downloads/(filename)

ET

home/shadow/(GUID)/mount/user/Downloads

home/chronus/user/Downloads

home/chronus/u-(GUID)/Downloads

home/user/(GUID)/Downloads

home/(username)/Downloads

Également

le tableau downloads_url_chains dans l’historique du navigateur

Extensions

Les noms de fichiers sont des GUID. Remarque : utilisez un moteur de recherche pour le GUID ou vérifiez le fichier json du manifeste (comprend le nom et les préférences)

home/shadow/(GUID)/mount/user/Extensions

home/chronus/user/Extensions

home/chronus/u-(GUID)/Extensions

home/user/(GUID)/Extensions

home/(username)/Extensions

Extensions – manifest.json

home/shadow/(GUID)/mount/user/Extensions/(extensionGUID)/(Version)/manifest.json

home/chronus/user/Extensions/(extensionGUID)/(Version)/manifest.json

home/chronus/u-(GUID)/Extensions/(extensionGUID)/(Version)/manifest.json

home/user/(GUID)/Extensions/(extensionGUID)/(Version)/manifest.json

home/(username)/Extensions/(extensionGUID)/(Version)/manifest.json

Extensions – Paramètres de l’application de synchronisation

home/shadow/(GUID)/mount/user/Sync App Settings

home/chronus/user/Sync App Settings

home/chronus/u-(GUID)/Sync App Settings

home/user/(GUID)/Sync App Settings

home/(username)/Sync App Settings

Stockage hors ligne

home/shadow/(GUID)/mount/user/gcache/v1/files

home/chronus/user/gcache/v1/files

home/chronus/u-(GUID)/gcache/v1/files

home/user/(GUID)/gcache/v1/files

home/(username)/gcache/v1/files

Remarque – Files are listed by GUID rather than name and can be associated via gcache/v1/meta/*.ldb

Historique navigateur

home/shadow/(GUID)/mount/user/.bash_history

home/chronus/user/.bash_history

home/chronus/u-(GUID)/.bash_history

home/user/(GUID)/.bash_history

home/(username)/.bash_history

Avatar

home/shadow/(GUID)/mount/user/Accounts/Avatar/Images/(emailadderess)

home/chronus/user/Accounts/Avatar/Images/(emailadderess)

home/chronus/u-(GUID)/Accounts/Avatar/Images/(emailadderess)

home/user/(GUID)/Accounts/Avatar/Images/(emailadderess)

home/(username)/Accounts/Avatar/Images/(emailadderess)

J’espère que cela vous servira de document de référence rapide pour vos analyses de Chromebook. Si vous cherchez à effectuer des acquisitions de Chromebook, essayez la méthode de Daniel Dickerman publiée sur DFIR Review..

Avez-vous trouvé d’autres emplacements d’artéfacts lors de votre analyse de Chromebook ? Faites-moi en part par e-mail à l’adresse jessica.hyde@magnetforensics.com.

Ressources connexes

Blog

Blog

Le coup de projecteur de Magnet : Comment l’unité de délits en ligne contre les mineurs de la police de Los Angeles lutte contre l’exploitation des enfants

L’une des principales motivations qui m’ont poussé à m’intéresser au succès de Magnet Forensics au fil des ans était de m’assurer que nous pouvions vraiment accomplir notre mission : obtenir

July 26, 2023 • Une lecture d'environ 3 minutes
Blog

Blog

iOS – Suivi des ID de lot pour les conteneurs, les conteneurs partagés et les plug-ins

Dans ce blog, Christopher Vance se penche sur le suivi permettant de déterminer quelle application a mis des données dans un emplacement spécifique dans iOS.

May 17, 2022 • Une lecture d'environ 7 minutes
Blog

Blog

Magnet Forensics acquiert DME Forensics

Nous annonçons l’acquisition de DME Forensics, une entreprise de solutions de preuves vidéo et multimédia !

May 3, 2022 • Une lecture d'environ 2 minutes
Page d’accueil du Centre de ressources
Holo, transparent letter M

Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

Haut