Merhaba TürkHackTeam Üyeleri.
Bu Konumda Sizlere Google Chrome'un Adli Olarak Nasıl İncelenebileceğini Göstereceğim.
Konu İçeriği
➤ Google Chrome Verileri Nerede Saklanır?
➤ History Dosyasını İnceleyelim
Google Chrome Verileri Nerede Saklanır?
Bir kullanıcının Google Chrome'de nerelerde gezindiği, hangi tarih ve saatte neler yaptığı, hangi dosyaları hangi kaynaktan indirdiği gibi veriler adli bilişim açısından önem arz ediyor. Bizde bu konuda bu verilere nasıl ulaşabileceğimizi öğreneceğiz. Öncelikle Google Chrome'un verilerinin işletim sistemimizde nerede tutulduğunu öğrenmemiz gerek. Kullanıcının Google Chrome üzerinde daha öncesinde yaptığı davranışlar History adlı bir dosyada tutulur. Biz incelemelerimizi bu dosya üzerinden gerçekleştireceğiz. Bu History dosyasının hangi işletim sisteminde hangi dizinde olduğunu aşağıdan öğrenebilirsiniz.
Linux -> /home/$USER/.config/google-chrome/Default/History
Windows -> C:\Users\[USERNAME]\AppData\Local\Google\Chrome\User Data\Default\History
MacOS -> <userdir>/Library/Application Support/Google/Chrome/Default/History
Ayrıca Chrome aynı siteye birdahaki girişinizde işlemlerinizi daha hızlı ve pratik bir şekilde yapabilmemiz için bizim siteye ilettiğimiz verileri kaydeder. Bu kayıtlar sonucunda bizim o siteye verdiğimiz bilgileri bir dahaki girişimizde site bizden istemez. Bu olaya cache denir. Google Chrome'un cache dosyasını sakladığı yeride aşağıdan öğrenebilirsiniz.
Windows -> C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Cache\
History Dosyasını İnceleyelim
» Daha yenide dediğim gibi biz incelememizi History dosyası üzerinden yapacağız. Bu dosyanın nerede tutulduğunuda öğrendiğimize göre incelememize geçebiliriz. Öncelikle bu History dosyamızı masaüstüne atıyoruz.
» Akabinde SQL dosyasını açmak için bir SQL editöre ihtiyacımız var. Zira History dosyamız bir SQL dosyası. Bunun için SqLiteMan isimli aracı kullanabilirsiniz. Buradan aracı indirebilirsiniz. Aracı indirdikten sonra sol üstten File kısmına ve oradan da Open kısmına tıklıyoruz. Ve buradan daha yeni masaüstüne attığımız History dosyamızı seçiyoruz.
» Sonrasında sol panele bir database geliyor. Bu database'i açıp Tables kısmına giriyoruz. Burada bizim karşımıza tablolar çıkıyor. Şimdi bu tabloların herbirinde tek tek ne olduğunu, hangi bilgilerin yer aldığını açıklayayım.
» Öncelikle downloads tablosu ile başlayalım. Bu tabloda tutulan bilgiler kullanıcının internetten indirdiği belgeler, dosyalar, uygulamalar hakkında bize bilgi verir. Tabloda birsürü değer var lakin ben size önemli olan bazılarından bahsedeyim. target_path değeri indirilen dosyanın bilgisayarda nereye kayıt edildiğini, current_path değeri indirilen bu dosyanın şuanda nerede olduğunu, total_bytes değeri indirilen dosyanın kaç bayt olduğunu, tab_url değeri indirilen dosyanın url'sini, mime_type değeri indirilen dosyanın türünü ve last_modified değeri ise indirilen dosyanın en son ne zaman düzenlendiğini gösterir.
» Sonra keyword_search_terms tablosu ile devam edelim. Bu tabloda tutulan bilgiler kullanıcının arama motorlarında hangi kelimeleri arattığı bilgisini verir. Bu tabloda işimize yarayacak olan asıl değer term değeridir. Bu değer bize kullanıcının aradığı anahtar kelimeyi verir.
» Şimdi ise segments tablosuna bakalım. Bu tablo bizim hangi siteleri ne sıklıkla ziyaret ettiğimiz bilgisini tutar. Bu tablodaki name değeri sıklıkla ziyaret edilen sitelerin bilgisini bizlere verir.
» Şimdide önemli olan bir tabloyu yani urls tablosunu inceleyelim. Bu tabloda daha önceden ziyaret ettiğimiz siteler hakkında bazı bilgiler mevcut. Buradaki url değeri ziyaret edilen sayfayı, title değeri o sayfanın başlığını, visit_count değeri o sayfayı ziyaret sayımızı ve last_visit_time ise o sayfayı en son ne zaman ziyaret ettiğimiz bilgisini verir.
» Bir diğer önemli olan tablo visits tablosu. Bu tabloda hangi sayfaları ziyaret ettiğimiz hakkında bilgiler tutuluyor. Bu tablo urls tablosu ile beraber kullanılır. Zira bu tablodaki url değeri urls tablosundaki değerler ile bağlantılıdır. Buradaki visit_time değeri o sayfayı ne zaman ziyaret ettiğimizi, transition değeri o sayfaya nasıl ulaştığımızı (yani başka bir siteden mi ulaştık, arama motoruna yazarak mı ulaştık yoksa direk sayfanın url'sini yazarak mı ulaştık bunun bilgisini verir) ve visit_duration değeri ise o sayfada ne kadar süre vakit geçirdiğimizi verir.
» Birde çerezleri analiz edelim. Çerezler en basit tabir ile kullanıcının sitelerdeki oturum bilgilerini tutarlar. Çerezleri analiz ederek kullanıcının hangi sitelere erişim sağladığını da bulabiliriz. Google Chrome kullanıcısına kolaylık sağlamak için kullanıcının bir web sitesine girdiği oturum bilgilerini kaydeder. Bir sonraki girişte site kullanıcıdan oturum bilgisi istediğinde Chrome bu bilgiyi kullanıcıdan istemeden kendi elindeki çerezlere dayanarak verir. Böylece kullanıcı tekrar tekrar oturum bilgisi gibi bilgileri girmek zorunda kalmadan işlerini daha pratik bir şekilde yapabilir. Biz yaptığımız bu analizi bir aracın yardımcılığıyla manuel olarak yaptık. Şimdi yapacağımız analizi otomatik olarak yapan araçlarda bulunuyor. Ben onu da anlatacağım. Benim kullanacağım araç Hindsight aracıdır. Bu aracı buraya tıklayarak bilgisayarınıza kurabilirsiniz. Aracımız komutlar ile çalışmaktadır. Bunun için öncelikle işletim sistemimizin komut istemini açıyoruz. Ve komut isteminden aracımızın bulunduğu dizine giriyoruz.
» Akabinde ise aracımızı aşağıdaki komut ile çalıştırabiliriz.
Kod:
python hindsight.py -i C:\Users\[USERNAME]\AppData\Local\Google\Chrome\User Data\Default -o output-file
» Komut çalıştırıldıktan sonra aracımızın bulunduğu dizine bizim verdiğimiz isime sahip bir xlsx formatında dosya oluşacaktır. Bu dosyayı açtığımızda ise bize tarih sıralamasına göre analiz ettiği cache verilerini vericektir.
Okuduğunuz İçin Teşekkür Ederim.
Esenlikle Kalın..
Saygılarımla:Smiley1021: