Ok kali ini saya akan mencoba untuk berbagi cara melakukan forensic terhadap 'cache' di browser firefox dengan OS Kali linux dengan menggunakan script python. Sebenarnya cara ini sudah ada di internet, hanya saja ini adalah materi belajar experimen saya ;)
File 'cache' tersebut dalam bentuk database sqlite yang tersimpan di dalam folder profile firefox (/root/.mozilla/firefox/)
Berikut ini script yang di gunakan untuk menampilkan data pencarian yang pernah di input oleh pengguna di google.
Simpan nama file firefoxForensic.py
#!/usr/bin/python
import sqlite3
import os
import re
def printGoogle(googleDB):
conn = sqlite3.connect(googleDB)
c = conn.cursor()
c.execute('select url, datetime(visit_date/1000000, \'unixepoch\') from moz_places, moz_historyvisits where visit_count > 0 and moz_places.id == moz_historyvisits.place_id;')
print '[*] --- Files Google ---'
for baris in c:
url = str(baris[0])
date = str(baris[1])
if 'google' in url.lower():
r = re.findall(r'q=.*\&', url)
if r:
search = r[0].split('&')[0]
search = search.replace('q=', '').replace('+', ' ')
print '[+] ' + date + '- Searched For : ' + search
def main():
pathName = '/root/.mozilla/firefox/s9n3cmwv.default/'
firefoxDB = os.path.join(pathName, 'places.sqlite')
printGoogle(firefoxDB)
if __name__ == "__main__":
main()
Jika script tersebut di jalankan, maka harusnya akan menampilkan seperti gambar di bawah ini.
Tapi script di atas bisa juga di modifikasi untuk melakukan analisa forensic terhadap file database sqlite lain yang berada di folder firefox (/root/.mozilla/firefox/).
Jadi selamat mencoba dan bereksperimen dengan file lain nya ;)
Tidak ada komentar:
Posting Komentar