А АFriday, 29 June 2018

Ваш web-браузер как кладезь информации о вас.

Всем привет.

Помните как часто нам предлагают поменять web-браузер, если не получилось с этим сайтом (или web-банкингом, или магазином online) в одном, то перейти временно на другой? Мы ставим еще один и пробуем. Ура, проблема решена и... старый браузер забыли. У кого сейчас только один браузер на ПК? Ууу, а если у жены предпочтения другие... А это же кладезь личной информации. О которой мы часто просто забываем.

Убедиться в этом на помогут утилиты NirSoft Forensic Tools. Программы пакета являются переносимым программным обеспечением и могут использоваться без установки в системе, а также, при некоторых дополнительных настройках, могут применяться для приложений и их рабочих данных, не являющихся частью ПО, установленного в текущей системе т.е. находящихся на внешних съемных дисках.

Что вы там любите - Chrome, Firefox или Opera? Да вы просто оцените ореол обитания ваших паролей и прочей личной информации.

IEHistoryView

IEHistoryView позволяет извлечь историю обозревателя Internet Explorer из файла index.dat. Информация включает в себя посещаемые URL, названия веб-сайтов, количество посещений сайта пользователем, дату и время последнего посещения. Также, отображается информация о локальных файлах, открывавшихся с использованием Internet Explorer.

При использовании IEHistoryView для извлечения истории браузера, использовавшегося на внешнем диске:
перейти в меню File - > Select History Folder (Ctrl+H), и выбрать каталог на внешнем диске, в котором размещается файл index.dat.
В командной строке задать каталог в виде параметра:
iehv.exe /stab c:\temp\history.txt –folder ”D:\Documents and Settings\User\Local Settings\History”
Примечание:Для получения достоверных данных, желательно иметь одинаковые настройки даты и часовых поясов на компьютере с работающей программой IEHistoryView и в исследуемой системе на внешнем диске.

IECacheView

IECacheView позволяет извлечь кэшированные данные на основе содержимого файла index.dat браузера Internet Explorer. Информация отображается в виде, подобном отображаемому программой IEHistoryView, но гораздо больше по объему – для каждой посещаемой страницы отображается множественные записи, включая изображения и загружаемые файлы.

Для просмотра кэш браузера на внешнем диске:
перейти в меню File - > Select Cache Folder (F9), и выбрать папку ”\Temporary Internet Files” из профиля пользователя на внешнем диске.
В командной строке задать параметр, определяющий размещение папки с временными файлами браузера:
IECacheView.exe -folder ” C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files” /stab c:\temp\cache.txt

IECookiesView

IECookiesView позволяет извлечь все файлы куки (cookie), запомненные обозревателем Internet Explorer.

Для извлечения файлов на внешнем диске:
перейти в меню File - > Select Cookies Folder (Ctrl+O) и указать расположение каталога Cookies
В командной строке указать путь к папке Cookies с использованием параметра /dir:
IECookiesView /dir ” C:\Documents and Settings\Admin\Cookies”

IE PassView

IE PassView позволяет получить пароли к сайтам, запомненные в браузере Internet Explorer.
IE PassView может отображать пароли для браузера на внешнем диске, но с ограничениями :
поддерживаются только версии Internet Explorer - 7.x and 8.x .
Пока не поддерживаются версии Windows 7 и старше.
Должен быть известен пароль пользователя Windows на внешнем диске, поскольку он используется при расшифровке зашифрованных паролей внешней системы.

Для использования программы по отношению к внешнему диску:
перейти в меню Options - > Advanced Options (F8), выбрать 'Load passwords from the following user profile', и выбрать папку с профилем пользователя.
В командной строке используется параметр /external задающий путь к профилю пользователя :
iepv.exe /external "C:\Documents and Settings\admin"



MozillaCacheView

MozillaCacheView отображает кэш, запомненный в браузере Mozilla Firefox.
Для получения кэш браузера на внешнем диске:
перейти в меню File - > Select Cache Folder (F9) и выбрать папку с кэш в профиле пользователя.
В командной строке задать параметр –folder определяющий путь к папке с кэш на внешнем диске:
MozillaCacheView.exe -folder ”C:\Documents and Settings\user\Local Settings\Application Data\Mozilla\Firefox\Profiles\acf2c3u2.default\Cache” /stab c:\temp\cache.txt

MozillaHistoryView

MozillaHistoryView отображает историю посещаемых страниц в браузере Mozilla Firefox. Начиная с Firefox 3, программа требует наличия установленного браузера на компьютере, поскольку используется библиотека sqlite3.dll для чтения истории (SQLite history database) Firefox.
Для получения истории браузера, установленного на внешнем диске:
перейти в меню File - > Select History File (Ctrl+H) и выбрать файл history.dat в профиле пользователя.
В командной строке используется параметр –file :
MozillaHistoryView.exe –file ”C:\Documents and Settings\Admin\Application Data\Mozilla\Profiles\test\p34kcd3y.slt\history.dat” /stab c:\temp\mz-history.txt

MozillaCookiesView

При использовании профиля пользователя на внешнем диске:
перейти в меню File - > Select Cookies File /Profiles Folder, и выбрать файл с куки на внешнем диске.
В командной строке используется параметр –cookiesfile указывающий файл куки:
mzcv.exe –cookiesfile ”J:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\1a2jjx2u.default\cookies.sqlite”

PasswordFox

PasswordFox позволяет получить пароли к сайтам, запомненные в браузере Mozilla Firefox. Для расшифровки паролей требуется, чтобы браузер был установлен на компьютер, где запускается PasswordFox.
Для получения паролей к сайтам пользователя, профиль которого находится на внешнем диске:
перейти в меню File - > Select Folders, и выбрать путь профиля пользователя.
В командной строке использовать параметр /profile определяющий путь к профилю
PasswordFox.exe /profile ”I:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\1z7ccd2u.default”

OperaCacheView

OperaCacheView позволяет получить кэш страниц, запомненных в браузере Opera.
Для получения кэш, сохраненных в браузере на внешнем диске:
перейти в меню File - > Select Cache Folder (F9) и указать путь к папке для кэш.
В командной строке использовать параметр -folder:
OperaCacheView.exe -folder ”J:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache”

OperaPassView

OperaPassView позволяет просматривать пароли к сайтам, запомненные в браузере Opera. Программа не позволяет вскрывать пароли, защищенные мастер-паролем (master password).
Для получения паролей к сайтам, запомненных браузером, установленным на внешнем диске:
перейти в меню Options->Advanced Options (F8) и выбрать файл wand.dat на внешнем диске.

ChromeCacheView

ChromeCacheView позволяет получить кэш страниц, открывавшихся в браузере Google Chrome.
Для получения кэш на внешнем диске:
перейти в меню File - > Select Cache Folder (F9) и выбрать папку с кэш на внешнем диске.
В командной строке используется параметр -folder:
ChromeCacheView.exe -folder ”P:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache”

MyLastSearch

MyLastSearch сканирует файлы кэш и истории четырех веб-браузеров (IE, Firefox, Opera, Chrome), и распознает поисковые запросы, выполняемые в наиболее популярных поисковых системах (Google, Yahoo и Bing) и наиболее популярных социальных сетях (Twitter, Facebook, MySpace), а также общедоступных сервисах (Youtube, Ask.com).
Для извлечения поисковых запросов на внешнем диске, используется параметр /loadfrom :
MyLastSearch.exe /loadfrom ”K:\Documents and Settings\Admin\Local Settings\History” ”K:\Documents and Settings\Admin\Local Settings\Temporary Internet Files” ”:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\dy18v2u5.default\history.dat” ”K:\Documents and Settings\Admin\Local Settings\Application Data\Mozilla\Firefox\Profiles\dy18v2u5.default\Cache”

LiveContactsView

Позволяет просматривать контакты, запомненные в Windows Live Messenger (в файле contacts.edb).
Имеются следующие ограничения:
на компьютере должна быть установлена свежая версия библиотеки esent.dll (Server Database Storage Engine). Утилита не позволяет извлекать контакты из поврежденных файлов и файлов резервных копий.
Для получения контактов Windows Live Messenger на внешнем диске:
перейти в меню Options - Advanced Options (F9) и выбрать папку в профиле пользователя с файлом contacts.edb.
В командной строке использовать параметр /contactsfile:
LiveContactsView.exe /contactsfile ”J:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows Live Contacts\{12356999-1122-2227-c99d-13e02105a776}\DBStore\contacts.edb”

Так что не забывайте убирать за собой. Или работайте в режиме Инкогнито.
Успехов.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное