Die Browser-Aktivität spielt bei den meisten Ermittlungen eine Rolle. Bevor Sie aber die Browserdaten unter die Lupe nehmen, sollten Sie sich zunächst folgende Fragen stellen:

  • Wissen Sie bereits, wo Sie beginnen?
  • Wissen Sie, wie die Daten in ihrem nativen Format vorliegen könnten?
  • Was ist mit herkömmlichen oder zweifelhaften Browsern?

Browserverlauf, Lesezeichen, Synchronisierungsdaten und Cache können an mehreren Orten vorhanden sein. Wenn Sie die Quelle des Browsing-Artefakts überprüfen, können Sie sichergehen, dass Sie nichts Relevantes übersehen.

Nachdem Sie die Datenbank mit den Browsing-Informationen gefunden haben, müssen Sie nach gelöschten Einträgen suchen, die möglicherweise nicht analysiert wurden. Am einfachsten ist dies, wenn Sie eine Stichwortsuche in Hex durchführen, wenn mithilfe des DB-Viewers in Cellebrite Physical Analyzer (PA) kein Daten-Carving vorgenommen wird.

Legen Sie Ihre Scheu vor Anwendungsdaten ab. Nehmen Sie einfach ein Ihnen bekanntes Bild und üben Sie mit PA. Erstellen Sie Testdaten, löschen Sie Items und machen Sie sich dann auf die Suche. Mit zunehmender Übung werden Sie Ihre Prüffähigkeit noch deutlich verbessern, und die Gewissheit, dass wir von Cellebrite hinter Ihnen stehen, wird Sie noch gelassener machen.

Video-Transkription:

In dieser Reihe haben wir bisher nur über das Auffinden von chats und allgemeiner Artefakte mithilfe von Cellebrite Physical Analyzer. In diesem Blog möchte ich mich auf Browserdaten konzentrieren.

Es gibt nur sehr wenige Ermittlungen, bei denen Browserdaten nicht im Mittelpunkt stehen. Daher ist es wichtig, zu wissen, wo Sie diese Informationen finden.

Hier ein paar Tipps und Tricks, die Ihnen dabei helfen, bei der Datenanalyse schneller zu den richtigen Informationen zu gelangen.

Überprüfen Sie den Internetverlauf

Einer der ersten Schritte bei der Aktivierung der PA besteht darin, zum „Internetverlauf“ herunter zu scrollen, um zunächst zu sehen, was geparst wird.

Im Screenshot unten sehen wir die „Internet-Lesezeichen“, und dann „Android-Browser“. Nun fragen sich einige vielleicht: „Was ist ein Android-Browser“? Das ist der Browser, der standardmäßig auf Samsung-Geräten installiert ist.

Der Screenshot unten ist also ein gutes Beispiel dafür, wie das Tool unter „Internet-Lesezeichen“ die Daten analysiert. Mir ist aufgefallen, dass der Samsung-Browser bei vielen kommerziellen Tools nicht auf Lesezeichen analysiert wird. Es ist somit wichtig, dass Sie sich einen Gesamtüberblick verschaffen. Wenn ich beispielsweise stattdessen mein iPhone verwende und genau dasselbe tue, indem ich zum „Internet-Verlauf“ herunter scrolle, erscheint „Safari“.

Achten Sie also darauf, welcher der Standard-Browser auf dem Gerät ist, das Sie untersuchen. In diesem Beispiel ist es beim iPhone „Safari“ und bei Samsung „Ask Browser“. Bei Android müssen Sie allerdings wissen, dass der Benutzer den Standard-Browser ändern kann. Daher müssen Sie jedes Mal, wenn Sie ein neues Gerät öffnen, zum App-Ordner hinaufgehen und unter „Installierte Apps“ nachsehen, um etwaige andere relevante Browser zu finden.

Das ist bei der Untersuchung von Android-Geräten wirklich wichtig, denn wenn Sie diese übersehen, werden Sie auch nicht wissen, dass Ihnen Daten entgehen. 

Überprüfen Sie Hex

Die Tools sind wirklich hilfreich. Cellebrite Physical Analyzer ist ein echter Meister, wenn es um die Analyse des Browser-Verlaufs geht. Allerdings hängt es von Ihnen ab, ob er alle Informationen erfasst. Und vergessen Sie nicht auf „gelöschte Daten“, die in diesen Datenbanken enthalten sein könnten. Achten Sie darauf, in der Hex nachzusehen, wenn Sie in die relevante Datenbank-Datei gehen.

Wenn Sie sich in der Hex befinden, führen Sie eine Stichwortsuche durch. Nutzen Sie alle Fähigkeiten, die Sie erlernt haben, um sicherzugehen, dass Ihnen keine wichtigen Browserinformationen entgehen.

Diesen Beitrag teilen