浏览器取证 _生活知道

4.1 浏览器的收藏夹通常保存了用户感兴趣的网站URL链接，这些链接在一定程度上可以体现用户的倾向性和意图。通常收藏夹默认存储于用户配置文件夹下的Favorites文件夹，本例中位置为“C:UsersAdministratorFavorites” 。如图所示
5、思考：新一代IE浏览器的取证方式？
三、火狐浏览器
1、基本认知：Firefox浏览器的数据存储采用的是SQLite数据库，因此可用SQLite数据库查看工具打开该文件进行SQL语句查询查看数据库中的数据。
2、places.sqlite
2.1 本例中，火狐浏览器的数据库文件存储位置为“C:UsersAdministratorAppDataRoamingMozillaFirefoxProfileswzuidpc9.default”，这里需要显示出隐藏文件：点击“组织”->“文件夹和搜索选项”->“查看”->“显示隐藏文件、文件夹和驱动器”->“确定”即可。如图所示
2.2 上网历史记录、书签及下载文件列表数据库名为“places.sqlite” 。打开SQLiteStudio软件（软件在桌面取证文件夹下，打开软件选择简体中文），点击菜单栏中的“数据库”按钮，选择“添加数据库”选项。如图所示
2.3 在弹出的“数据库”对话框中，选择“文件”选择框的“+”号按钮。如图所示
2.4 在数据库文件存储文件夹中选择C:UsersAdministratorAppDataRoamingMozillaFirefoxProfileswzuidpc9.default下的“places.sqlite”并点击“确定” 。如图所示
2.5 点击“OK”按钮完成添加数据库操作，选择数据库列表中的“places”数据库并点击“连接数据库”按钮。如图所示
2.6 选择“moz_places”表，右键单击浏览器证书过期是什么意思浏览器证书过期是什么意思，在快捷菜单中选择“Generate query for table”->“SELECT” 。如图所示
2.7 点击蓝色三角按钮进行查询得到结果，该表中保存了上网历史记录。如图所示
2.8 以同样的方式查询书签数据存放的表“moz_bookmarks” 。如图所示
2.9 下载文件列表“moz_annos” 。如图所示
1.9 下载文件列表“moz_annos” 。如图所示
3、cookies.sqlite
3.1 添加数据库文件“cookies.sqlite” ，连接数据库并查看“moz_cookies”表内容。如图所示
4、缓存文件
4.1 打开火狐浏览器，在地址栏中输入“about:cache”查看缓存文件存储位置。如图所示
【浏览器取证】4.2 点击链接“List Cache Entries”查看缓存。如图所示
5、思考：Chrome浏览器如何进行取证？
本文到此结束，希望对大家有所帮助！

浏览器取证

猜你喜欢