Tarayıcı Adli Bilimine Giriş
Tarayıcı adli bilimi, yasal bir işlemde kullanılabilecek kanıtları elde etmek amacıyla web tarayıcılarını ve bunlarla ilişkili eserleri incelemeyi içeren bir tür dijital adli tıp analizidir. Bu tür bir analiz, içeriden gelen tehditler, bir uzlaşma nedeni, veri sızması gibi tehditlerin araştırılmasında yararlı olabilir.
Tarayıcı adli bilişimi süreci genellikle web tarayıcı geçmişinin, önbelleğinin ve çerezlerinin çıkarılmasını ve incelenmesini içerir.
“Web tarayıcı geçmişi”, bir kullanıcının ziyaret ettiği web sitelerinin kaydıdır ve kullanıcının çevrimiçi etkinlikleri hakkında önemli bilgiler sağlayabilir.
“Önbellek”, web sitelerinin yüklenmesini hızlandırmak için kullanılan, resim ve metin gibi web içeriği için geçici bir depolama alanıdır.
“Çerezler”, kullanıcının bilgisayarında saklanan ve kullanıcının çevrimiçi etkinliklerini izlemek için kullanılabilen küçük veri parçalarıdır.
Adli tıp analistleri, bu yapıtları analiz etmenin yanı sıra, yeni özellikler veya işlevler eklemek için bir web tarayıcısına eklenebilecek küçük programlar olan web tarayıcısı uzantılarını da incelemelidir. Uzantılar, kullanıcı deneyimini geliştirmek, güvenliği artırmak veya çevrimiçi etkinlikleri izlemek gibi çeşitli amaçlarla kullanılabilir.
Kapsam ve Hedefler
Tarayıcı adli bilişiminin amacı, araştırmacılara bir bilgisayarda veya cihazda meydana gelen olayların net bir resmini sunmak ve bu olayların zaman çizelgesini oluşturmaya yardımcı olmaktır. Bu, analistlerin ziyaret edilen kötü amaçlı bir web sitesi veya tıklatılan bir kimlik avı bağlantısı gibi bir olayın temel nedenini belirlemek için kullanıcının tarayıcı etkinliğini analiz edebildiği bir olay durumunda özellikle yararlı olabilir. Adli tıp analistleri, web tarayıcılarının geride bıraktığı eserleri dikkatle inceleyerek kullanıcının çevrimiçi etkinliklerine ilişkin değerli bilgiler edinebilir ve yasal bir işlemde önemli kanıtlar sağlayabilir.
Tarayıcı adli bilişimi, bir bilgisayara veya cihaza yapılan saldırının ayrıntılarını anlamak isteyen araştırmacılar için de değerli olabilir. Adli tıp analistleri, web tarayıcılarının geride bıraktığı eserleri inceleyerek bir saldırının nasıl yürütüldüğüne dair bilgi edinebilir ve kötü amaçlı yazılım, reklam yazılımı, casus yazılım, kötü amaçlı e-postalar ve kimlik avı web sitelerinin kaynaklarının belirlenmesine yardımcı olabilir.
Chrome, Firefox, Safari, Internet Explorer ve Opera dahil pek çok farklı web tarayıcısı mevcuttur ve kullanılan belirli tarayıcı, adli analiz analizini etkileyebilir ancak bu alıştırmayı Chrome tarayıcıyla gerçekleştireceğiz.
Tarayıcı adli bilişimi, cezai soruşturmalardaki rolünün yanı sıra, web tarayıcısı eserlerinin incelenmesinin ilgili olabileceği hukuk davalarında ve diğer yasal işlemlerde de kullanılabilir. Örneğin, tarayıcı adli bilişimi, işyerinde olası taciz olaylarını araştırmak veya fikri mülkiyet hırsızlığına ilişkin kanıtları ortaya çıkarmak için kullanılabilir. Genel olarak, tarayıcı adli bilişiminin rolü, araştırmacılara kullanıcının çevrimiçi etkinliklerinin kapsamlı bir şekilde anlaşılmasını sağlamak ve yasal işlemlerde kullanılabilecek kanıtların ortaya çıkarılmasına yardımcı olmaktır.
Tipik Bir Senaryo
Bir şirket, hassas müşteri bilgilerinin bir rakibe sızdırıldığını bildirdi. Şirketin BT departmanı bir ön araştırma gerçekleştirdi ve şirketin mevcut çalışanı olan potansiyel bir şüpheliyi tespit etti. BT departmanı, bir adli tıp analistinden, çalışanın hassas bilgileri sızdırdığına dair herhangi bir kanıt olup olmadığını belirlemek için çalışanın bilgisayarını incelemesini istedi.
Adli tıp analisti, çalışanın bilgisayarının adli tıp görüntüsünü oluşturmaya başladı. İlk olarak FTK görüntüleyici, Encase, Autopsy vb. gibi adli tıp edinme araçlarını kullanarak kullanıcının bilgisayarından web tarayıcısı geçmişini, önbelleğini ve çerezleri çıkardı. Analist ayrıca, bunlardan herhangi birinin bir amaç için kullanılıp kullanılamayacağını belirlemek için kullanıcının web tarayıcısı uzantılarını da inceler. hassas bilgilerin çalınması.
Analist, çalışanın rakibin web sitesini birçok kez ziyaret ettiğini ve ayrıca kullanıcıların kolayca dosya paylaşmasına olanak tanıyan bir web tarayıcı uzantısı kullandığını tespit etti. Bu bilgiye dayanarak adli tıp analisti, çalışanın şirketin bilgisayarını kullanarak hassas müşteri bilgilerini rakibe sızdırdığını tespit edebilir. Analist, çalışanın eylemleriyle ilgili bir kanıt olarak şirketin yasal işlemlerini destekleyecek bu bilgiyi şirketin BT departmanına sağlar.
Kazanım
Adli edinim, bir bilgisayarın sabit diskinden veya başka bir depolama ortamından verilerin adli bir kopyasının oluşturulması işlemidir. Bu süreç genellikle veri kopyasının delilleri çıkarmak ve analiz etmek için kullanıldığı adli soruşturmanın bir parçası olarak gerçekleştirilir.
Adli edinim, depolama ortamındaki verilerin adli bir kopyasını oluşturmak için özel yazılım ve donanımın kullanılmasını içerir. Adli kopya, orijinal verilerin tam bir kopyasıdır ve silinmiş veya gizlenmiş dosyalar da dahil olmak üzere verilerin bütünlüğünü korur. Adli kopya daha sonra adli analiz yapmak ve ilgili kanıtları çıkarmak için kullanılır. Adli tıp edinimi, adli soruşturmada önemli bir adımdır çünkü soruşturmacılara orijinal verileri değiştirmeden veya zarar vermeden delilleri koruma ve analiz etme olanağı tanır. Bu, delillerin mahkemede kabul edilebilir olmasını ve yasal işlemleri desteklemek için kullanılabilmesini sağlamaya yardımcı olur.
Tipik bir senaryoda, yalnızca tarayıcı analizini değil, tam disk analizini gerçekleştirmek için güvenliği ihlal edilmiş veya şüpheli bir uç noktanın tam disk görüntüsünü elde ederiz. FTK görüntüleyici, Autopsy, Axiom gibi araçlar, diskimizin tam kopyalarını parça parça almamıza yardımcı olabilir. Daha sonra, tarayıcı depolama konumlarındaki tarayıcı yapılarını disk görüntüsünden çıkarabiliriz. Veriler istenmeden bozulabileceğinden veya değiştirilebileceğinden, canlı görüntü üzerinde adli analiz yapılması önerilmez.
Tarayıcılar geçmiş, ziyaret edilen URL’ler, önbellek, çerezler vb. gibi kullanıcı bilgilerini sqlite veritabanlarında ve json formatında saklar. Bizimle ilgili verileri görüntülemek için bunları ayrıştırabiliriz.
Örneğin aşağıda önbellek, çerezler, yer imleri vb. gibi tüm Firefox verilerinin depolandığı konum bulunmaktadır.
Benzer şekilde Google Chrome’un kullanıcı verilerinin depolandığı kendi konumu vardır.
Diğer bazı yaygın web tarayıcılarının depolama yolları şunlardır:
Firefox: “%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\”
Edge: “%USERPROFILE%\AppData\Local\Microsoft\Edge\Kullanıcı Verileri\”
Opera: “%USERPROFILE%\AppData\Roaming\Opera Software\Opera Stable”
Chrome depolama konumu altında bulunan önemli yapıtları (yapılarımızın çoğu, tanımlanan yolun altındaki varsayılan klasörde olacaktır), ne yaptıklarını, adli araştırmalarımızda bize nasıl fayda sağladıklarını, kullanıcı(lar) etkinliklerinin nasıl takip edileceğini tartışacağız. BrowsingHistoryView kullanarak farklı tarayıcılarda, veritabanı sqlite okuyucu kullanarak bunların manuel olarak nasıl analiz edileceğini ve Hindsight gibi otomatik araçlarla nasıl yapılacağını.
Not: En çok kullanılan tarayıcı olduğu için bu kursta yalnızca Google Chrome tarayıcı yapılarını araştıracağız, ancak teknikler tüm tarayıcılara uygulanabilir.
Tarayıcı Yapıları
Adli eserler, bir bilgisayarda veya başka bir dijital cihazda bulunabilen kanıt veya verilerdir. Bu eserler, cihazı kimin kullandığını, ne zaman kullanıldığını ve ne için kullanıldığını belirlemeye yardımcı olmak için kullanılabilir. Adli eserlere örnek olarak geçici dosyalar, günlük dosyaları ve silinmiş dosyalar verilebilir; bunların tümü adli soruşturmada kullanılabilecek önemli bilgiler içerebilir. Bu derste, tarayıcıyla ilgili etkinliklerin araştırılmasına yardımcı olan tarayıcı yapılarını tartışacağız ve sonraki derslerde bunları manuel olarak analiz edip otomatik araçları kullanacağız.
Bazı yaygın tarayıcı yapıları şunlardır:
– Search history
– Visited Websites
– Downloads
– Cookies
– Cache
– Bookmarks
– Favicons
– Sessions
– Form history
– Thumbnails
– Extensions
Search History
Arama geçmişi, kullanılan arama terimlerinin bilgilerini ifade eder. Bu bilgi önemlidir çünkü kullanıcının arama çubuğuna yazdığı URL’leri tam olarak göstererek kullanıcıların niyetini ortaya çıkarabilir. Arama geçmişi “History” adlı SQLite veritabanına kaydedilir ve “keyword_search_term” tablosunun altındadır.
“Arama Geçmişi” Yapısı şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\History ”
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\places.sqlite ”
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\History ”
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\History ”
Not: Microsoft Edge ve Opera’nın Chrome ile aynı yola ve veritabanı adlarına sahip olduğunu belirtmekte fayda var. Bunun nedeni, bu tarayıcıların hepsinin Chromium tabanlı olması, yani aynı arka uç motoruna sahip olmalarıdır.
Visited Websites
Bu yapı, ziyaret edilen web sitelerinin URL’leri, ziyaret edilen sitelerin tarihleri ve saatleri de dahil olmak üzere bir kişinin tarama geçmişini ifade eder. Bu bilgi, tarayıcı araştırmaları için bir zorunluluktur çünkü kullanıcıların çevrimiçi etkinliğini yalnızca bu bilgiler aracılığıyla bulabiliriz; bu, bir güvenlik ihlali sorununun temel nedenini tam olarak belirleyebilir ve araştırmayı hızlandırabilir. Bu veriler aynı zamanda “Geçmiş” SQLite veritabanında da saklanır ve “ziyaretler” tablosunun altındadır.
“Ziyaret Edilen Web Siteleri” eseri şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\History ”
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\places.sqlite ”
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\History ”
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\History ”
Downloads
Bu yapı, indirilen dosyaları, adlarını ve kaynağın getirildiği yerdeki URL’leri saklar. Bu, kötü amaçlı yürütülebilir dosyaların belirlenmesine yardımcı olabilecek, indirilen dosya türlerini bulup araştırabildiğimiz için mükemmel bir yapıdır. Bu veriler aynı zamanda “Downloads_url_chains” ve “downloads” tablosu altında “History” adlı SQLite veritabanına da kaydedilir.
“İndirilenler” yapıtı şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\History ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\places.sqlite ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\History ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\History ”.
Cookies
Çerezler, kullanıcıların ziyaret ettikleri web siteleri tarafından tarayıcılarına depolanan küçük veri parçalarıdır. Çerezler, çerezleri ayarlayan web sitelerinin, çerezlerde saklanan verilerin ve çerezlerin son kullanma tarihlerinin analiz edilmesine yardımcı olur. Bunlar bize geçmiş web oturumları, alan adları vb. hakkında bilgi verir. Bu veriler SQLite veritabanı “Çerezler”de (ağ klasöründe) saklanır ve “çerezler” tablosunun altındadır.
Çerezlerin yapısı şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\cookies.sqlite ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Network\Cookies ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\Network\Cookies ”.
Cache
Web önbelleği, HTML sayfaları ve resimler gibi web tabanlı verilerin depolandığı geçici bir depolama konumudur. Önbellek analizinin amacı, kullanıcının web tarama geçmişini yeniden yapılandırmak ve potansiyel olarak kanıtları ortaya çıkarmak için bu verileri tanımlamak, korumak ve analiz etmektir. Kullanıcıların sıklıkla ziyaret ettiği web sitelerini ortaya çıkarabiliyoruz. Bu veriler, ayrı bir indeks dosyası kullanılarak indekslenen birçok veri bloğu dosyasında saklanır.
Önbellek yapısı şu konumda bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\webappsstore.sqlite ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data ”.
Not: Yalnızca Opera önbelleği “\Appdata\Local\*” altına kaydedilir, Opera verilerinin geri kalanı “\Appdata\Roaming\” altına kaydedilir
Bookmarks
Yer işaretleri, kullanıcıların daha sonra erişmek üzere kaydetmiş olabileceği web sayfalarının bir kaydı olduğundan, tarayıcı adli biliminde yaygın olarak kullanılan yapılardır. Çoğu web tarayıcısında, yer imleri özel bir klasörde veya listede saklanır ve bunlara genellikle “yer imleri” veya “favoriler” düğmesine tıklanarak erişilebilir. Tarayıcı adli biliminde yer imleri, bir kullanıcının düzenli olarak ziyaret ettiği web sayfaları ve ilgi duydukları konular hakkında bilgi sağladıkları için önemli bir kanıt kaynağı olabilir. Yer imlerini incelemek, kullanıcıların web tarama geçmişini yeniden yapılandırmaya ve kalıpları belirlemeye yardımcı olur. davranış. Yer imleri, varsayılan dizin altında “Yer İmleri” adlı bir JSON dosyasında saklanır.
Yer imleri yapısı şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Bookmarks ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\places.sqlite ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Bookmarks ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\Bookmarks ”.
Favicons
Favori simgeler olarak da bilinen favicons, belirli bir web sayfası veya web sitesiyle ilişkilendirilen küçük grafik görsellerdir. Bu resimler genellikle bir web tarayıcısının adres çubuğunda, web sayfasının başlığının veya URL’sinin yanında görünür ve ayrıca bir sayfaya yer işareti koymak için simgeler olarak da sıklıkla kullanılırlar. Tarayıcı adli bilişiminde faviconlar, kullanıcıların düzenli olarak ziyaret ettiği web sayfaları hakkında bilgi verebildiğinden ve ilgilendikleri web siteleri kadar satış yapabildiklerinden önemli bir kanıt kaynağı olabilir. Bu yapıtla ilgili önemli olan şey, alan adının olmasıdır. web sitesinin istek anında favicon simgesinin yüklendiği yerden kaydedilir. Yani geçmiş dosyası depolama konumundan kaldırılsa bile web sitelerinin adları favicon veritabanına kaydedilmeye devam eder. Her web sitesinde favicon bulunmayabileceğini, özellikle de kötü amaçlı olanların bulunabileceğini belirtmekte fayda var. Ayrıca bu yapı, tarayıcıların yeni sürümlerinde biraz tutarsızdır, dolayısıyla ona tam olarak güvenemeyiz. Bu, varsayılan dizin altında “Favicons” adlı bir sqlite veritabanında saklanır.
Favicon eseri şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Favicons ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\favicons.sqlite ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Favicons ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\Favicons ”.
Session file
Oturum dosyaları, silinmiş geçmiş dosyası diskten kaldırılsa bile kullanıcıların web tarama etkinlikleri hakkında bilgi sağlayabilen yapılardır. Bu dosya, son oturum sırasında belirli bir zamanda tarayıcıda açık olan web sayfaları hakkında bilgi içerir. Bu bilgiler web sayfalarının URL’lerini, sayfaların başlıklarını ve web formlarına girilen herhangi bir metni içerebilir. Bazı durumlarda bu dosyalar, kullanıcıların tarama geçmişi ve tarayıcı tarafından saklanan çerezler hakkında bilgiler de içerebilir. Oturum ve sekme dosyalarının incelenmesi, kullanıcıların web tarama geçmişini yeniden yapılandırmaya ve davranış kalıplarını tanımlamaya yardımcı olabilir. Yararlı olması açısından, kullanıcının geçmişi silmesi ve tarayıcıyı kapatması durumunda oturum dosyası, tartışıldığı gibi değerli veriler verecektir. Ancak kullanıcı tarayıcıyı yeni bir oturum için açarsa, önceki oturum dosyası mevcut olacak ancak içeriği geçersiz kılınacak ve kullanılamaz hale gelecektir. Bu yapı, işten çıkarılan bir çalışanın verilerini analiz ederken bir senaryo için yararlı olabilir; onun son etkinlikleri oturum dosyasında mevcut olacaktır. Bu, varsayılan dizin altında “Sessions” adlı bir SQLite veritabanında saklanır.
Oturumlar yapısı şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Sessions\* ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\sessionstore.jsonlz4 ” (1)
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\sessionstore-backups\* ” (2)
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Sessions\* ”
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\Sessions\* ”
Form History
Form geçmişi, kullanıcının web formlarına girdiği metin hakkında bilgi sağlayabilen bir yapıdır. Çoğu web tarayıcısında, kullanıcının gelecekte benzer formları doldurmasını kolaylaştırmak amacıyla, arama kutularına veya çevrimiçi formlara girilen metinler gibi kullanıcıların form verilerini kaydeden bir özellik bulunur. Bazı durumlarda form geçmişi, kullanıcının web’de gezinme alışkanlıkları ve ilgi alanları hakkında değerli bilgilerin yanı sıra çevrimiçi formlara girilmiş olabilecek hassas bilgiler de sağlayabilir. “Form Geçmişi”nden şifreleri, kredi kartı bilgilerini vb. keşfedebiliriz. Bu, “Web Verileri” adlı SQLite veritabanında saklanır.
Bu eserin bulunduğu yer; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Web Data ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\formhistory.sqlite ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Web Data ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\Web Data ”.
Thumbnails
Küçük resimler, genellikle bir web tarayıcısı tarafından oluşturulan tam boyutlu görsellerin veya videoların küçük, küçültülmüş boyutlu versiyonudur. Bu küçük resimler genellikle büyük medya dosyası koleksiyonlarını organize etmeye ve bunlar arasında gezinmeye yardımcı olmak için kullanılır ve genellikle bir web tarayıcısının önbelleğinde veya geçici dosyalarında bulunur. Bir kullanıcının eriştiği veya indirdiği medya türlerinin belirlenmesine yardımcı olabileceğinden ve ayrıca medyanın oluşturulduğu web sitesi veya çevrimiçi hizmet hakkında bilgi sağlayabildiğinden adli soruşturmacılar için değerli ipuçları sağlayabilirler.
Küçük resimler eseri şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Top Sites ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Top Sites ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\Top Sites ”.
Extensions
Bazen “Eklentiler” olarak da adlandırılan tarayıcı uzantıları, ek işlevsellik veya özellikler eklemek için bir web tarayıcısına yüklenebilen küçük bir yazılım parçasıdır. Uzantılar genellikle sekmeleri düzenlemek, reklamları engellemek veya şifreleri kaydetmek için araçlar sağlamak gibi kullanıcı deneyimini geliştirmek için kullanılır. Uzantılar, şüpheli bir üçüncü taraf satıcıdan gelen kötü amaçlı olabilir veya yasal uzantıların ele geçirildiği ve kötü niyetli eylemler gerçekleştirmeye zorlandığı bir tedarik zinciri saldırısı durumu olabilir. Kötü amaçlı uzantıların bir olaya neden olması durumunda bu iyi bir kanıt kaynağı olabilir. Uzantıların meta verileri, Uzantılar klasörü altında ve rastgele adlandırılmış klasörlerde depolanır.
Uzantıların yapısı şu adreste bulunur; Chrome’da
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Extensions\{randomfoldername}\* ”,
Firefox’ta “ C:\Users\[kullanıcı adı]\AppData\Roaming\Mozilla\Firefox\Profiles\[rastgele klasör adı]\extensions\* ”,
Edge’de “ C:\Users\[kullanıcı adı]\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\{randomfoldername}\* ”,
Opera’da “ C:\Users\[kullanıcı adı]\AppData\Roaming\Opera Software\Opera Stable\Extensions\{rasgele klasör adı}\* ”.
Araç: BrowsingHistoryView
Nirsoft’un “BrowsingHistoryView” isimli aracını inceleyeceğiz. BrowsingHistoryView, farklı Web tarayıcılarının (Mozilla Firefox, Google Chrome, Internet Explorer, Microsoft Edge, Opera) geçmiş verilerini okuyan ve tüm bu Web tarayıcılarının tarama geçmişini tek bir tabloda görüntüleyen bir yardımcı programdır. Tarama geçmişi tablosu şu bilgileri içerir: Ziyaret Edilen URL, Başlık, Ziyaret Süresi, Ziyaret Sayısı, Web tarayıcısı ve Kullanıcı Profili. BrowsingHistoryView, kullanıcıların çalışan bir sistemdeki tüm kullanıcı profillerinin tarama geçmişini izlemesine ve ayrıca harici sabit diskten tarama geçmişini almasına olanak tanır. Ayrıca, herhangi bir kullanıcı arayüzünü görüntülemeden, kullanıcı arayüzünden veya komut satırından göz atma geçmişini csv/tab-delimited/html/xml dosyasına aktarabilirsiniz. BrowsingHistoryView aracı, bilgilerin çok kullanıcı dostu bir GUI görünümünde görüntülenmesi söz konusu olduğunda gerçekten faydalıdır. Adli tıp araştırmaları için çok uygun olan, canlı bir sistemden veya disk görüntüsünden bilgi ayrıştırabilir ve birden fazla tarayıcıyı destekler. Bu aracı aşağıdaki bağlantıdan ücretsiz olarak indirebilirsiniz .
Bu aracın GUI sürümünü kullanacağız ancak bir de CLI sürümünün olduğunu belirtmekte fayda var.
Aracı kurup açtığımızda ihtiyaçlarımıza göre filtreler uygulayabileceğimiz, hedeflemek istediğimiz tarayıcıları seçebileceğimiz vb. gelişmiş seçenekler menüsü görüyoruz.
Web geçmişini yaşına göre filtreleyebiliriz; URL’nin tam olarak ziyaret ettiği tarih ve saate göre. Aşağıdaki örnekte filtreyi son 10 saatten bu yana verileri gösterecek şekilde ayarladığımızı görebilirsiniz.
Belirtilen zaman çizelgesi sırasında görüntülenecek zaman aralığını ve verileri de belirtebiliriz. Bu özellik özellikle Adli Analist veya Olay Müdahale Uzmanı olarak kullanışlıdır çünkü bir olayın meydana geldiği zaman dilimini bilirsek, olaydan önceki veya sonraki kullanıcı faaliyetlerini belirlemek için bu zaman dilimleri etrafında tarih filtreleri uygulayabiliriz. Bu, olayın nedenini veya saldırganın hedeflerini (içeriden tehdit durumunda) bulmamıza yardımcı olabilir.
Daha sonra 2 tür dize tabanlı filtremiz var:
1- Eşleşen dizeler:
Eşleşen Dizeler filtresi, tarayıcı geçmişinde olup olmadığını bilmek istediğimiz bilinen dizeleri belirtmemize olanak tanır. Bilinen bazı IOC’lerimiz veya alan adlarımız varsa (birden fazla rastgele alt alan adı kullanan tehdit aktörü) veya kullanıcının belirli bir şeyi arayıp aramadığını bilmek istiyorsak bu yararlı olabilir. Virgül “,” ile ayırarak birden fazla dize belirtebiliriz.
Aşağıdaki örnekte URL adresinde “letsdef” ve “facebo” bulunan URL’ler görüntülenecektir. Tahmin edebileceğiniz gibi, aşağıdaki filtre, Letsdefend ve/veya Facebook’a ait olan veya URL’de bu belirtilen dizeleri içeren tüm URL’leri görüntüleyecektir (ki bu pek olası değildir).
2- Eşleşmeyen Stringler
Eşleşmeyen Dizeler filtresi, görüntülenmesini istemediğimiz bilinen dizeleri belirtmemize olanak tanır. Gürültüyü azaltmak ve bilinen iyi URL’leri filtrelemek istiyorsak bu yararlı olabilir (Belki şirket web portalları vb. kuruluşlarda yaygındır). Virgül “,” ile ayırarak birden fazla dize belirtebiliriz.
Aşağıdaki örnekte, URL adresinde “goog” ve “githu” dizesi bulunan URL’ler görüntülenmez. Bu filtrenin herhangi bir google veya github alanını görüntülemeyeceğini tahmin edebiliriz.
Bu eşleşme/eşleşmeme filtrelerini aynı anda kullanabiliriz, bu da elimizde büyük miktarda veri varsa analizimizi kolaylaştıracaktır.
Daha sonra veri toplayacağımız tarayıcıları seçebiliriz;
Sistem üzerinde analiz edilecek kullanıcıyı/profili de seçebiliyoruz. Bu, Active Directory ortamlarında veya birden fazla kullanıcının bir iş istasyonunu paylaştığı durumlarda çok yararlı olabilir.
Şimdi bu aracı inceleyelim:
Yalnızca Chrome tarayıcıyla birlikte varsayılan her şeyi seçtik.
Araç, URL’yi, söz konusu sayfanın başlığını, siteye kurulan toplam bağlantı sayısını, trafiğin yönlendirildiği siteyi ve URL’de geçirilen toplam süreyi görüntüler.
Şimdi Letsdefend ve cyberjunnkie siteleriyle ilgili URL’yi görüntülemek için bir filtre uygulayalım.
Bu derste, tercih ettiğimiz kalıplarla tarayıcı geçmişinde arama yapmak için çok kullanışlı bir araç olan “BrowsingHistoryView”ı keşfettik. Bu araç, bilgisayar paylaşılan bir iş istasyonu gibi birden fazla kullanıcı tarafından kullanıldığında, Canlı makine analizi için çoğunlukla kullanışlıdır.
Manuel Tarayıcı Analizi
Bu derste daha önce tartıştığımız bazı eserleri manuel olarak analiz edeceğiz. Daha önce tartıştığımız veritabanlarını okumak için “DB Tarayıcı for SQLite” aracını kullanacağız. Ayrıca, geçmiş silinmiş olsa bile çevrimiçi etkinlikleri kurtarmamıza yardımcı olan oturum dosyalarının içeriğini okumak için dizeler aracını kullanacağız.
Veritabanı Tarayıcı SQLite
DB Tarayıcı SQLite, bir veritabanı yapısındaki sütunları, tabloları, satırları vb. görüntülemeye, düzenlemeye ve silmeye yardımcı olan bir araçtır. Resmi açıklamalarda şöyle yazıyor:
“DB Tarayıcı for SQLite (DB4S), SQLite ile uyumlu veritabanı dosyalarını oluşturmaya, tasarlamaya ve düzenlemeye yönelik yüksek kaliteli, görsel ve açık kaynaklı bir araçtır.”
DB4S, veritabanları oluşturmak, aramak ve düzenlemek isteyen kullanıcılar ve geliştiriciler içindir. DB4S, tanıdık bir elektronik tablo benzeri arayüz kullanır ve karmaşık SQL komutlarının öğrenilmesine gerek yoktur.
Aracı aşağıdaki bağlantıdan ücretsiz olarak indirebilirsiniz .
Aracı kurup çalıştırdıktan sonra, ilk olarak yapılarımızın çoğunun depolandığı klasöre gidiyoruz: “%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default”
Not: %USERPROFILE%, kullanıcının “C:\Users\cyberjunkie\” gibi kök konumudur
Web Geçmişi
Öncelikle “Geçmiş” veritabanını analiz edip hangi içerikleri bulabileceğimizi tartışacağız.
“Geçmiş” dosyasına sağ tıklayın ve “Birlikte aç”ı seçin.
ve ardından “SQLite için DB Tarayıcısı” seçeneğini seçin.
Not: Burada “DB Tarayıcı for SQLite”ı bulamazsanız “Diğer Uygulamalar” seçeneğine tıklayıp aracı manuel olarak seçebilirsiniz. Varsayılan kurulum yolu şu şekildedir: “ C:\Program Files\DB Tarayıcı for SQLite\DB Tarayıcı for SQLite.exe ”
Artık dosya aracın içinde açıktır.
“Veritabanı Yapısı”, tabloların adını ve daha fazla veritabanı meta verisini görüntüleyen ilk sekmedir. Tablo adları analizimiz için faydalıdır çünkü ad bize tablonun altında hangi verilerin depolandığını söyler. Yukarıdaki örnekte olduğu gibi URL tablosunda kullanıcıların ziyaret ettiği URL’ler yer alacaktır.
Veriler “Verilere Gözat” sekmesinde görüntülenecektir. Burada her tablonun sütunlarını ve satırlarını görebiliriz.
Tablo açılır menüsünden analiz etmek istediğimiz tabloyu seçebiliriz.
URL tablosunu seçip verileri görüntüleyelim.
Ziyaret edilen URL’leri görebiliriz. Şimdi Chrome tarayıcıyı kullanarak bir dosya indirelim ve ardından geçmiş veritabanının indirilenler tablosunu görüntüleyelim.
Not: Veritabanını bozabileceğinden, tarayıcı açıkken veritabanı dosyasının açık olmaması gerektiğini unutmayın.
Yönlendiren sekmesinde dosya konumunu ve dosyanın indirildiği URL’yi görebiliriz. Bu bilgiler, kötü amaçlı web sitelerinin ve indirmelerin belirlenmesinde yararlı olabilir.
Site simgesi
Daha sonra bize ziyaret edilen web sitelerinin bilgilerini veren “Favicon” veritabanını inceleyeceğiz. Bu yapı yararlı olabilir çünkü geçmiş dosyası silinirse ziyaret edilen URL’leri burada bulabiliriz. Bu tablonun yalnızca sık kullanılan simgesi olan web sitelerini görüntülediğini, sık kullanılan simgesi olmayanların burada saklanmayacağını unutmamak önemlidir. Burada saklanan verileri görebilmemiz için “favicon” tablosunu seçmemiz gerekiyor.
Bazı web siteleri, favicon gibi varlıklarını ana etki alanlarında saklamaz. Alt alanları veya bulut depolama alanını kullanırlar. URL’ye bakarak hala hangi alana ait olduğu hakkında fikir sahibi olabiliriz. Örneğin 4. favicon URL’si “paypalobjects.com”, kullanıcının PayPal web sitesini ziyaret ettiğini gösterir. Bu sayede kullanıcının ne tür web sitelerini ziyaret ettiğini takip edebiliriz.
En iyi siteler
Kullanıcıların çevrimiçi etkinliklerini toplamanın bir başka iyi kaynağı da “En İyi Siteler” veritabanıdır. Bu aynı zamanda geçmiş dosyasının silinmesi durumunda kullanıcının ziyaret ettiği web siteleri hakkında da bize bilgi verir.
Web verileri
Bu eser bir adli tıp analisti için altın madeni olabilir. Bir kullanıcı oturum açma bilgilerini, kredi kartı bilgilerini, adresleri veya tarayıcının kaydedebileceği diğer herhangi bir veriyi doldurduğunda, tarayıcı bize bilgileri kaydetmek isteyip istemediğimizi sorar ve aynı web sitesini bir sonraki ziyaretimizde bu veriler otomatik olarak doldurulur ve kaydedersek kullanıcının gerekli bilgileri doldurmasına gerek kalmaz.
Tüm bu veriler “web verileri” veritabanına kaydedilir. Ayrıca bu değerli eserin önüne yazılan anahtar kelimelerin URL geçmişini de alabiliriz. Şimdi bu veritabanını açalım ve görelim:
Ziyaret edilen web siteleri, favicon bilgileri vb. hakkında değerli bilgileri “anahtar kelimeler” tablosundan alabiliriz.
“Otomatik doldurma” tablosundan e-postaları, kullanıcı adlarını vb. bulabiliriz.
Kart numarası, son kullanma tarihi ve benzeri gibi bazı kredi kartı bilgilerini kurtarabiliriz. Kredi kartı numaraları çoğunlukla ödeme ağ geçidine bağlı olarak şifrelenir. Şanslıysak kredi kartı numaralarını, CVV kodunu, kartın son kullanma tarihini öğrenebiliriz. Kredi kartı formları normalde verinin doğası gereği kredi kartı numaralarını ve CVV’yi saklamaz, ancak doğası gereği o kadar hassas olmadığından son kullanma tarihi saklanır. Ancak bu yine de kredi kartı ödeme ağ geçidinin geliştiricisine, kullanılan ödeme API’sine vb. bağlıdır. Bu aynı zamanda kullanıcının çevrimiçi işlemlerini ve kullanıcının satın aldığı mal ve hizmetlerin türünü izlememize de olanak tanır.
Kullanıcı bu verileri tarayıcıya kaydederse adres, telefon numaraları vb. bilgileri bulabiliriz. Aşağıdaki görselde adresi “Letsdefend” şeklinde giriyoruz ve bunu “autofill_profile_addresses” tablosunda görebiliyoruz.
Kullanıcıların tarayıcıyı kullanım alışkanlıklarına bağlı olarak daha fazla kişisel veri bulabiliriz. “Web verileri” veritabanı, bireyin kullanıcı alışkanlıkları hakkında bize çok büyük miktarda kişisel bilgi sağlayabildiği için çok değerli bir eserdir.
Uzantılar
Uzantıları ve bunların adli değeri nasıl taşıdıklarını tartıştık. Artık tarayıcımızda yüklü olan uzantılar hakkında bilgi bulacağız.
“ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Extensions\ ” yoluna gidin
Bu konumda rastgele klasörler göreceksiniz. Her klasör, tarayıcıda yüklü olan bir uzantıya/eklentiye aittir. Klasörlerin içine girmemiz ve meta veri dosyalarını okuyarak veya simge resimlerini vb. görüntüleyerek uzantıların adını bulmamız gerekecek. Bir sonraki derste tartışacağımız Hindsight gibi araçları kullanarak bunu otomatik olarak yapabiliriz.
Uzantı hakkında bilgi bulmak için ilk klasöre gidip dosyalara bir göz atalım.
Uzantıyı görsellerden de tespit edebiliriz.
Uzantı analizi ve sürüm bilgileri, özellikle sistemin kötü amaçlı bir uzantı tarafından ele geçirilmesi durumunda bize gerçekten yardımcı olacaktır. Bu uzantının analizini ve bu uzantının engellenmesi vb. gibi kurulum önlemlerini gerçekleştirebiliriz.
Görebildiğimiz gibi, doğrudan tarayıcıdan kullanışlı bir proxy olan bu FoxyProxy uzantısı.
Oturum dosyası
Şimdi oturum dosyalarını analiz edeceğiz. Daha önce de belirttiğimiz gibi, oturum dosyası bize yalnızca kullanıcının geçmişi silmesi ve tarayıcıyı kapatması durumunda iyi bir değer sağlayacaktır. Ancak kullanıcı tarayıcıyı yeni bir oturum olarak açarsa, önceki oturum dosyası hala mevcut olacak ancak içeriği geçersiz kılınacak ve kullanılamaz hale gelecektir. Kullanıcı oturumunun geçmişini sileceğiz, ardından tarayıcıyı kapatacağız, ardından en son oturum dosyasını analiz edeceğiz (birden fazla olacağı için). Oturum dosyasının içeriği okunması kolay bir formatta olmadığından, bu dosyayı okuyabilmek için sysinternal’ın ‘strings’ aracıyla açacağız. Bu aracı buradan indirebilirsiniz .
Oturum dosyalarının yolu “ C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Sessions ”
Bu dosyada cmd aracılığıyla stringleri kullanacağız.
Not: Dosya yolunu tırnak içine almayı unutmayın. a (-a) anahtarı yalnızca ASCII anlamına gelir.
Daha iyi görünürlük için çıktıyı bir dosyaya yönlendirin.
Tam komut şöyle olacaktır:
Komut: “strings64.exe -a “C:\Users\[kullanıcı adı]\AppData\Local\Google\Chrome\User Data\Default\Sessions\Session_Filename” > dosyaadı.txt“
Geçmiş silinmiş olsa bile kullanıcı etkinliği hakkında bazı bilgiler alıyoruz.
Basit bir veritabanı görüntüleme aracı kullanarak SQLite veritabanlarında depolanan farklı türdeki tarayıcı verilerinde nasıl gezinileceğini ve bunların nasıl kullanılacağını araştırdık. Bu yaklaşım, daha derine inmemize ve verilerin ve aracın doğası gereği otomatik araçların gözden kaçırabileceği daha fazla bilgi bulmamıza yardımcı olabilir. Otomatik bir aracın yeterince önemli olarak tanımlayamayacağı bir şey, davanın çözülmesine yardımcı olacak bir anlaşmayı bozucu olabilir. Ne kadar çok veri olursa, o kadar çok bağlam ve kanıta sahip oluruz. Ancak bu, otomatik araçları kullanmamanız gerektiği anlamına gelmez; çünkü olay incelemeleri sırasında önceliklendirme süresi çok sınırlıdır, dolayısıyla otomatik araçlar hızlı analiz için mükemmeldir. Olayın nasıl meydana geldiğini derinlemesine araştırmaya çalıştığımız adli analizler için manuel yaklaşım uygundur.
Geçmişe Bakış Çerçevesi
Bu araç, tarayıcı adli tıp sürecini hızlandırmak için çok faydalıdır. Önceki derste tartışıldığı gibi genellikle veritabanlarına göz atarak yaptığımız değerli tarayıcı bilgilerini otomatik olarak ayrıştırır ve görüntüler. Hindsight’ın resmi açıklaması aşağıdaki gibidir:
Hindsight, web yapıtlarını analiz etmek için ücretsiz bir araçtır. Google Chrome web tarayıcısının tarama geçmişiyle başladı ve diğer Chromium tabanlı uygulamaları destekleyecek şekilde genişledi; daha fazlası da gelecek! Hindsight, URL’ler, indirme geçmişi, önbellek kayıtları, yer imleri, otomatik doldurma kayıtları, kayıtlı şifreler, tercihler, tarayıcı uzantıları, HTTP çerezleri ve Yerel Depolama kayıtları dahil olmak üzere bir dizi farklı türde web yapıtını ayrıştırabilir.
Bu aracı buradan alabilirsiniz .
Araçla yerel bağlantı noktasında etkileşime girmemizi sağlayacak GUI sürümünü kullanacağız.
İkili dosyayı çalıştırdığınızda, Windows akıllı ekranı yürütmeyi engelleyecek ancak yine de çalıştıracaktır.
Şimdi araca tarayıcınızda “ http://localhost:8080 ” adresi üzerinden erişiniz. Canlı sisteminizde bulunan Chrome’u analiz ediyorsanız, bu aracı Microsoft Edge veya Firefox gibi başka bir tarayıcıda çalıştırmanızı öneririz. Bu, analizin gerçekleştirileceği tarayıcıyı kullanarak potansiyel yapılara ve kanıtlara müdahale etmememiz için önerilir.
Ana arayüz bu şekilde görünüyor.
Öncelikle giriş tipinde analiz etmek istediğimiz tarayıcıyı seçiyoruz. Bu araç hala yeni ve aktif olarak geliştirildiğinden şimdilik yalnızca Chrome ve Brave tarayıcılarını destekliyor.
Daha sonra “Profil Yolu” Girişine tarayıcı verilerinin kaydedildiği depolama konumunu girmemiz gerekiyor. Bu, bu kursun başından beri bahsettiğimiz varsayılan konum olabileceği gibi, incelenen başka bir bilgisayardan disk görüntüsünü veya yapay dosyaları içe aktardıysanız kullanılabilecek özel bir yol da olabilir.
Eklenti seçici, kullanmak istediğimiz eklentileri seçmemize olanak tanır. Çoğu durumda, mümkün olduğu kadar çok bilgi istediğimiz için tümünün seçilmesi önerilir. Ancak yalnızca belirli uzantıları incelemek istediğiniz bir kullanım durumunuz varsa yalnızca ilgili eklentiyi seçebilirsiniz. Bu örnekte tüm eklentileri kullanacağız.
Ayrıca bize farklı işletim sistemleri için uygun olan varsayılan Chrome veri konumunu da gösterir.
Şimdi sağ alt köşedeki “Çalıştır” seçeneğine tıklayacağız. Kısa bir süre sonra, bulunan ve ayrıştırılan yapı türlerine ve değerli veriler üreten eklentilere ilişkin genel bir bakışın verileceği bir sonuçlar sayfasına yönlendirileceğiz.
Verileri bir Excel sayfası, JSON veya SQLite veri tabanı olarak görüntüleyebilir ve tıpkı bir önceki derste yaptığımız gibi analiz edebiliriz ancak bu durumda artefaktların sonuçlarını aynı veri tabanı altında ilişkilendirerek bize çok zaman kazandırmış oluruz. Ayrıca, veritabanında doğrudan tarayıcıdan gezinmemize ve aynı zamanda istenen sonuçları kısa sürede elde etmek için SQL sorguları yürütmemize olanak tanıyan yerleşik bir SQLite motoruna sahiptir.
Verileri analiz etmek için mevcut tabloları seçebiliriz.
Burada “installed_extensions” tablosunu seçtik ve eklentilerle ilgili bilgileri gösteriyor. Aynı tür verileri manuel analizde de araştırdık ancak bu sefer araç bunu otomatik olarak yaptı.
Daha sonra, çerezlerden, önbellekten ve otomatik doldurmaları ve form geçmişi bilgilerini saklayan “Web verileri” veritabanından ayrıştırılan bilgileri görüntüleyen bir “depolama” tablomuz seçilmiştir.
Silinen Bilgilerin Kurtarılması
Hindsight’ın bir diğer harika özelliği de “Site Özellikleri” veritabanını analiz edebilmesidir. Bu, Chrome’un web sitelerindeki farklı davranışları (ör. sitenin başlığını, favicon’ları vs. değiştirmesi) izleyen bir özelliğidir. Anahtarın MD5 orijin karması, web sitesi ve değerin bir protobuf değeri olduğu bir anahtar/değer çiftini tutarak çalışır. . Protokol Tamponları (Protobuf), yapılandırılmış verileri serileştirmek için kullanılan ücretsiz ve açık kaynaklı, platformlar arası bir veri formatıdır. Google tarafından esas olarak Google ürünlerinde kullanılmak üzere geliştirilmiştir. Bu değerin ne olduğu hakkında ayrıntılı bilgi vermeyeceğiz ancak bunun adli açıdan etkili olduğunu nasıl kanıtladığını ele alacağız. Hindsight, herhangi bir yapıdan bulduğu her kaynak URL’nin MD5 toplamını hesaplar ve bunu “Site Özellikleri Veritabanı”ndaki anahtarla karşılaştırır. Herhangi bir eşleşme varsa site özelliklerindeki bu anahtar, kaynak URL ile değiştirilir. Eşleşme olmadığında anahtar değeri MD5 karması olarak kalır. Geçmiş silindiğinde bu tekniği kullanarak bir kullanıcının belirli bir web sitesini ziyaret ettiğini kanıtlayabiliriz. Bu yapı, diğer yapılarda hiçbir iz bulunmayan URL’lerin kaynağını bulmamıza yardımcı olabilir. Ziyaret ettiğimiz belirli web sitelerinin izlerini bulmak istiyorsak, bulmak istediğimiz URL’lerin md5 toplamlarını hesaplayabilir ve bunları anahtar MD5 değerleriyle karşılaştırabiliriz.
Bunu uygulamalı olarak görelim. Üçüncü tablomuz verileri kronolojik sırayla gösteren bir zaman çizelgesiydi. Burada “Geçmiş” veritabanından, “En İyi Siteler” veritabanından, “Yer İmleri” veritabanından vb. bize URL bilgilerini gösteren verileri görebiliriz. İlk satır, çalışırken tartıştığımız yukarıdaki prosedürü göstermektedir. Letsdefend web sitesini tarayıcıdan ziyaret ettik ve geçmişi sildik. Ama yine de alanın kanıtını bulabiliriz.
Görmek istediğimiz sütun tipini görmek için “SQL sorgularını” da kullanabiliriz. Örneğin, URL’leri yalnızca zaman çizelgesi tablosunda görmek istiyorsak, şu sorguyu girmeliyiz: SELECT URL FROM ‘timeline’ LIMIT 0,30”, bu temel olarak URL sütununu ‘timeline’ ve Limit adlı bir tablodan görüntülemek anlamına gelir. Görüntüleme her sayfada 30 satıra kadar.
İhtiyaçlarımıza göre birden fazla sütunu veya farklı tablolardan verileri de görüntüleyebiliriz.