In den bisherigen Teilen dieser Serie haben wir mit Autopsy Datenträger analysiert, gelöschte Dateien wiederhergestellt und Metadaten ausgewertet. Jetzt gehen wir in einen Bereich, der im Alltag fast noch wichtiger ist: Spuren aus Browsern und Netzwerkaktivitäten.
Denn Hand aufs Herz: Fast alles, was wir am Computer tun, läuft heute über das Internet. Ob E-Mails, Social Media, Online-Banking oder Chatprogramme – jede Aktivität hinterlässt Spuren. Und genau diese Spuren machen wir mit Autopsy sichtbar.
Warum Browser-Forensik so wichtig ist
Browser sind die „Fenster zur Welt“ – und gleichzeitig eine Goldgrube für Forensiker. Sie speichern jede Menge Daten lokal, oft auch dann, wenn der Nutzer glaubt, „privat“ zu surfen.
Typische Browser-Artefakte:
- Verlauf (History): besuchte URLs mit Zeitstempeln
- Cookies: kleine Dateien, die Login-Sessions und Tracking-Infos enthalten
- Cache: gespeicherte Bilder, Skripte und Seitenfragmente
- Downloads: Liste aller heruntergeladenen Dateien
- Gespeicherte Passwörter: (je nach Browser verschlüsselt)
- Formulardaten: z. B. eingegebene E-Mail-Adressen oder Suchbegriffe
👉 All das kann in einer forensischen Untersuchung extrem wertvoll sein.
Unterstützte Browser in Autopsy
Autopsy unterstützt out-of-the-box viele populäre Browser:
- Chrome / Chromium
- Firefox
- Microsoft Edge
- Safari (eingeschränkt, vor allem auf macOS-Images)
Die Daten liegen meist in SQLite-Datenbanken im Benutzerprofil des Browsers. Autopsy bringt Parser mit, die diese automatisch auslesen und strukturiert anzeigen.
Analyse von Browserverläufen
Beispiel: Chrome-Verlauf
Chrome speichert seinen Verlauf in einer SQLite-Datei namens History.
Autopsy liest diese automatisch ein und zeigt eine Tabelle mit:
- URL
- Titel der Seite
- Besuchszeitpunkt
- Besuchshäufigkeit
Praxisbeispiel:
Im Verlauf siehst du, dass am 17.09. um 21:15 Uhr die Seitehttps://www.examplebank.com/login besucht wurde – kurz darauf wurde eine Datei kontoauszug.pdf heruntergeladen.
👉 Sofort ein Hinweis auf eine relevante Aktivität.
Cookies und Login-Sessions
Cookies verraten, auf welchen Seiten der Nutzer eingeloggt war.
- Session-Cookies zeigen: Nutzer war bei
facebook.comaktiv. - Tracking-Cookies geben Aufschluss über besuchte Seiten.
- Manche Cookies enthalten auch User-IDs oder eindeutige Tokens.
In Autopsy findest du diese Daten unter Recent Activity → Web Cookies.
Cache und Downloads
Der Browser-Cache speichert Teile besuchter Websites:
- Bilder
- Skripte
- HTML-Dateien
Das kann nützlich sein, um Inhalte nachzuvollziehen, die inzwischen offline sind.
Die Download-Historie ist besonders spannend:
- Welche Dateien wurden heruntergeladen?
- Wann?
- Von welcher Quelle?
Beispiel: vertragsdaten.zip wurde am 18.09. von fileshare.com heruntergeladen und liegt noch im Download-Ordner.
Gespeicherte Passwörter und Formulardaten
Autopsy kann auch versuchen, auf gespeicherte Passwörter oder Formulareingaben zuzugreifen.
- E-Mail-Adressen aus Login-Masken
- Suchbegriffe in Suchmaschinen
- Benutzernamen und manchmal sogar Passwörter
⚠️ Hinweis: Je nach Browser-Version sind Passwörter verschlüsselt und nur eingeschränkt auslesbar. Aber selbst Benutzernamen und Suchbegriffe liefern oft wertvolle Hinweise.
Netzwerkspuren im weiteren Sinne
Autopsy selbst ist kein Packet-Sniffer wie Wireshark – es analysiert keine Live-Netzwerke. Aber: Viele Netzwerkspuren finden sich trotzdem im Dateisystem.
Typische Beispiele:
- DNS-Cache: Welche Domains wurden aufgelöst?
- Protokolldateien von Anwendungen (z. B. Messengern)
- System-Logs: Ein- und Ausgehende Verbindungen
- Downloads: Welche Dateien kamen aus dem Netz?
Chat- und Messenger-Artefakte
Viele Chatprogramme speichern lokal Datenbanken – und Autopsy kann diese oft einlesen.
Unterstützte Artefakte (abhängig von Version & OS):
- Skype-Datenbanken (
main.db) - WhatsApp-Backups (bei Android-Images)
- Signal/Telegram (eingeschränkt, oft verschlüsselt)
- E-Mail-Clients (Thunderbird, Outlook)
Beispiel: Eine SQLite-Datenbank aus Skype enthält Chatverläufe inkl. Zeitstempeln und Beteiligten – alles sauber von Autopsy aufbereitet.
Timeline-Integration
Das Spannende: Autopsy integriert Browser- und Chatdaten in die Timeline-Ansicht.
Beispiel einer Timeline-Rekonstruktion:
- 19:45 Uhr: Besuch
jobportal.com - 19:50 Uhr: Download
bewerbungsvorlage.docx - 20:05 Uhr: Upload über Webmail-Interface
- 20:15 Uhr: Chat-Nachricht mit Datei-Anhang über Skype
👉 So lässt sich eine komplette Handlungskette aufzeigen.
Fallstudie: Social-Media-Aktivität
Angenommen, ein Nutzer wird verdächtigt, sensible Informationen über Social Media preisgegeben zu haben.
Autopsy-Analyse:
- Browserverlauf zeigt wiederholte Besuche von
twitter.com. - Cookies belegen eine aktive Login-Session.
- Cache enthält Bilder von Posts.
- Downloads beinhalten eine hochgeladene Datei.
- Chatlogs aus Skype zeigen parallele Kommunikation.
Mit diesen Artefakten lässt sich ein klares Bild der Aktivität rekonstruieren.
Grenzen der Browser- und Netzwerkforensik
Natürlich gibt es auch Einschränkungen:
- Inkognito/Privatmodus: Weniger Daten gespeichert (aber oft nicht komplett spurlos).
- Manuelles Löschen: Nutzer kann Verlauf/Cookies löschen – wobei Reste oft im unallocated space bleiben.
- Verschlüsselung: Moderne Browser verschlüsseln gespeicherte Passwörter.
- Cloud-Dienste: Viele Daten liegen inzwischen online, nicht lokal.
👉 Trotzdem: Selbst bei „privatem Surfen“ bleiben in Logs, DNS-Caches oder temporären Dateien oft Spuren zurück.
Praktische Tipps
- Suchbegriffe analysieren
– Autopsy zeigt Suchanfragen aus Google, Bing etc. - Cache-Inhalte prüfen
– Manchmal finden sich dort Screenshots oder Bilder, die nicht mehr online verfügbar sind. - Cookies + Timeline kombinieren
– So erkennst du, wann und wie lange jemand eingeloggt war. - Andere Quellen einbeziehen
– Netzwerkspuren mit Auth-Logs oder Dateizugriffen kombinieren. - Export nutzen
– Browserdaten lassen sich in CSV exportieren → praktisch für tiefergehende Analysen.
Schreibe einen Kommentar