Digital Forensics:Browser forensics

Browsers keep a record of visited websites, which can reveal a user's search history and potential malicious activity.

Kroll Artifact Parser And Extractor (KAPE) 

KAPE gives you access to targets and modules for the most common operations required in forensic exams, helping investigators gather a wider range of artifacts 

Description. ChromeHistoryView is a small utility that reads the history data file of Google Chrome Web browser, and displays the list of all visited Web pages 

Google Chrome’s browsing data is stored in the user’s AppData\\Local\\Google\\Chrome\\User Data\\Default directory.

Browser forensics Lab

Instruction

We found an attacker who compromised the machine and download malware . Please help find the URL which use by attacker.

Download History

Hint

Reveal download activity from Browser History.

Step 1.  KAPE Collecting Browser Artifacts

Step 2. Chrome History provides analysts with the following information: 

Chrome History View is a free utility developed by NirSoft

To run it, navigate to where you downloaded and extracted the tool Chrome History View.exe and double click the file.

When it opens load the history from the users data folder  from the Advance Options menu.

Then navigate to the path of the Users profiles from your Kape collection.

Click OK and it displays the Chrome history.

Step 3. SQLite Viewer Web App

SQLite Viewer Web is a free, web-based SQLite Explorer, inspired by DB Browser for SQLite and Airtable.

URL Table

Or  SQLite Browser 

Open SQLite Browser  and navigate to the Chrome database stored at C\Users\<User Name>\AppData\Local\Google\Chrome\User Data\Default.

Step 4. Check suspicious websites

Step 5. Tracking Changes Over Time The Wayback Machine

Q1. What sites have been visited in the last days ?

Ans:

Q2.How many times a site was visited (most frequency information) and what the page title by User visits  ?

Ans:

Q3.What is the name of the malicious file that was downloaded?

Ans:

Hint

Reveal download activity from Browser History.

Q4.What is the profile of the user who downloaded the malicious file? 

Ans:

Q5.The URL, page title, and referring website for visits used by the insider threat.

Ans:

อ่านเพิ่มเติม: How to analyze WebCacheV01.dat

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล  เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา   บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา  ในการเรียนรู้เท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Digital Forensics:Meta Information

ข้อมูล EXIF ​​คืออะไร?

EXIF (Exchangeable Image File Format) คือมาตรฐานที่กำหนดข้อมูลเฉพาะที่เกี่ยวข้องกับภาพหรือสื่ออื่นๆ ที่ถ่ายด้วยกล้องดิจิทัล โดยสามารถจัดเก็บข้อมูลสำคัญต่างๆ เช่น การรับแสงของกล้อง วันที่/เวลาที่ถ่ายภาพ และแม้แต่ตำแหน่ง GPS

ExifTool is a platform-independent Perl library plus a command-line application for reading, writing and editing meta information

ExifTool ใช้ในการอ่านและเขียนข้อมูลเมตาในไฟล์ประเภทต่างๆ ดาวน์โหลดเครื่องมือ EXIF

File Types using Exiftool

Step 1. #CD C:\Users\ ...\Downloads\exiftool-12.51

E:\Software\exiftool-12.51

Step 2: # C:\Users\ ...\Downloads\exiftool-12.51>"exiftool(-k).exe" -filetype DSCN0010.jpg

The basic way of using the exiftool utility on Windows, is similar to the command used below:

#"exiftool(-k).exe" DSCN0010.jpg

Step 3: From the snapshot, we can gather the following useful information:

1. File Size: 162 KB

2. File Creation Date: 2022:11:30 15:28:23+07:00

3. File Type: JPG

4. File Name: DSCN0010.jpg

5.GPS Date/Time                   : 2008:10:23 14:27:07.24Z

6.GPS Latitude                    : 43 deg 28' 2.81" N

7.GPS Longitude                   : 11 deg 53' 6.46" E

8.Make                                   : NIKON

9.Camera Model Name          : COOLPIX P6000

ค้นหา “ละติจูด GPS” และ “ลองจิจูด GPS” ในหน้าต่างผลลัพธ์

Generate a single report for  photo.

#C:\Users\...\Downloads\exiftool-12.51>"exiftool(-k).exe" -a -u -g1 -w %f.txt DSCN0010.jpg

Step 4: generate a single report with all the information

# "exiftool(-k).exe" *.jpg -csv > report.csv

Step 5:Verify  pic2map 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud