Mientras disfruto de la "iLife" con mi nueva MacBook Negra, me puse a investigar que podía encontrar relacionado al análisis forense en MacOSX y me tope con un toolkit muy interesante llamado SFT.
SFT significa "Safari Forensic Tools" y contiene un set de programas muy interesantes para analizar a Safari en MacOSX. Podemos descargar SFT en dos formatos, uno con los binarios para Linux y otro con el código fuente para ser compilado en OSX o Linux.
Safari en OSX, guarda en el directorio "/Users/(usuario)/Library/Safari" la mayoría de los archivos que utiliza:
- History.plist: historial de las paginas web visitadas.
- Downloads.plist: historial de los archivos descargados.
- Bookmarks.plist: listado de las URL guardadas.
- Icons/: cache con los archivos favicon.ico.
Los archivos binarios "property list" o ".plist" suelen ser usados para guardar la configuración de los usuarios, similar a la Registry en Windows. (Mas info: en.wikipedia.org/wiki/Plist)
Ahora veamos de que forma podemos extraer información de estos archivos:
- History.plist:
KFS$ ./safari_hist /Users/KFS/Library/Safari/History.plist
El comando "safari_hist" extraerá del archivo "History.plist" la URL del website visitado, la fecha y hora de la ultima visita, la cantidad de visitas y el nombre de la pagina.
- Bookmarks.plist:
KFS$ ./safari_bm /Users/KFS/Library/Safari/Bookmarks.plist
El comando "safari_bm" extraerá del archivo "Bookmarks.plist" la URL del website guardado, su titulo y bajo que sección se encontraba.
- Downloads.plist:
KFS$ ./safari_downloads /Users/KFS/Library/Safari/Downloads.plist
El comando "safari_downloads" extraerá del archivo "Downloads.plist" la URL del website desde donde se descargo el archivo, los bytes transmitidos, el lugar donde se guardo el archivo y en que estado finalizo la descarga.
- Icons/:
La versión 2.x de Safari guarda un cache de los archivos "favicon.ico" y metadatos relacionados de cada website en un directorio con este formato:
"/Users/(usuario)/Library/Safari/Icons/XX/XX/xxxxxxxxxx-xxxxxxxxxx.cache".
El comando "safari_icon_osx" extrae del archivo ".cache" la URL del website que contenía el archivo favicon.ico y la fecha y hora en que el cache fue guardado en el disco.
Otro directorio muy importante para nosotros, es en donde Safari guarda las Cookies: "/Users/(usuario)/Library/Cookies", en donde encontraremos el archivo "Cookies.plist" con todas las cookies recibidas por los websites visitados.
El comando "safari_cookies" extraerá de la Cookie, la fecha de creación y expiración, el dominio y el path del website, y los datos que contiene la Cookie.
SFT fue desarrollado por Jake Cunningham y puede ser descargado en jafat.sourceforge.net.
Ahora veamos de que forma podemos extraer información de estos archivos:
- History.plist:
KFS$ ./safari_hist /Users/KFS/Library/Safari/History.plist
El comando "safari_hist" extraerá del archivo "History.plist" la URL del website visitado, la fecha y hora de la ultima visita, la cantidad de visitas y el nombre de la pagina.
- Bookmarks.plist:
KFS$ ./safari_bm /Users/KFS/Library/Safari/Bookmarks.plist
El comando "safari_bm" extraerá del archivo "Bookmarks.plist" la URL del website guardado, su titulo y bajo que sección se encontraba.
- Downloads.plist:
KFS$ ./safari_downloads /Users/KFS/Library/Safari/Downloads.plist
El comando "safari_downloads" extraerá del archivo "Downloads.plist" la URL del website desde donde se descargo el archivo, los bytes transmitidos, el lugar donde se guardo el archivo y en que estado finalizo la descarga.
- Icons/:
KFS$ ./safari_icon_osx /Users/KFS/Library/Safari/Icons/00/07/3279106052-3693059452.cache
La versión 2.x de Safari guarda un cache de los archivos "favicon.ico" y metadatos relacionados de cada website en un directorio con este formato:
"/Users/(usuario)/Library/Safari/Icons/XX/XX/xxxxxxxxxx-xxxxxxxxxx.cache".
El comando "safari_icon_osx" extrae del archivo ".cache" la URL del website que contenía el archivo favicon.ico y la fecha y hora en que el cache fue guardado en el disco.
Otro directorio muy importante para nosotros, es en donde Safari guarda las Cookies: "/Users/(usuario)/Library/Cookies", en donde encontraremos el archivo "Cookies.plist" con todas las cookies recibidas por los websites visitados.
KFS$ ./safari_cookies /Users/KFS/Library/Cookies/Cookies.plist
El comando "safari_cookies" extraerá de la Cookie, la fecha de creación y expiración, el dominio y el path del website, y los datos que contiene la Cookie.
SFT fue desarrollado por Jake Cunningham y puede ser descargado en jafat.sourceforge.net.
No hay comentarios.:
Publicar un comentario