browserforensics
Zurück zu allen Artikeln

So analysieren Sie ein Browser-Profil in Ihrem Browser

2026-05-19 · 2 min

Der nachfolgende Workflow geht davon aus, dass Sie eine Profilkopie auf der Festplatte und ein paar Minuten zur Triage haben. Es ist genau die Folge, die ich durchlaufe, bevor ich entscheide, ob ein Host eine tiefere Erfassung verdient (MFT, USN, EVTX) oder ob die Browser-Seite der Geschichte allein genügt.

1. Profil korrekt erfassen

Kopieren Sie den gesamten Profilordner, nicht nur History. Bei Chromium heißt das Default/ (oder das relevante Profile N/). Bei Firefox das zufällig benannte Profiles/<xxxx>.default-release/. Bei Safari sowohl ~/Library/Safari/ als auch den Container unter ~/Library/Containers/com.apple.Safari/Data/Library/.

Stellen Sie sicher, dass die -wal- und -shm-Begleitdateien mitkommen. Im WAL-Recovery-Beitrag steht, warum das nicht verhandelbar ist.

Wenn der Browser läuft, schließen Sie ihn sauber, erstellen Sie ein Volume-Image oder erfassen Sie via Volume Shadow Copy. Ein Live-xcopy einer gesperrten SQLite-Datei ist der falsche Weg.

2. Laden

Ziehen Sie den gesamten Profilordner auf die Ablagefläche. Das Ordner-Upload ist wichtig, weil es History automatisch mit History-wal verknüpft und jedes LevelDB-Verzeichnis als einzelnen Speicher gruppiert, statt als Haufen .ldb-Dateien.

Das Parsen erfolgt clientseitig. Nichts verlässt den Rechner; eine Grundvoraussetzung für jede Erfassung aus einer regulierten Umgebung.

3. Artefakttabellen lesen

Jede erkannte Datei wird zu einer eigenen Tabelle. Die Badges neben jeder Tabelle zeigen an, ob der Parser sie sauber geöffnet hat oder auf Best-Effort zurückgefallen ist (typisch bei halb geschriebenen LevelDBs und beschädigten Cookies). Nutzen Sie die Suche und Sortierung pro Tabelle zum schnellen Triagieren.

Die Felder, die sich zuerst verdient machen:

  • urls.last_visit_time mit visits.transition gejoint, um benutzerinitiierte Navigation von Weiterleitungen zu trennen.
  • downloads.target_path plus downloads_url_chains, um die ursprüngliche Quell-URL auch nach browserseitigen Weiterleitungen wiederherzustellen.
  • Cookie-host_key + creation_utc, um Besuche zu untermauern, die der Benutzer aus History gelöscht haben könnte.

4. Vereinheitlichte Zeitleiste bauen

Die Zeitleiste fügt Verlauf, Downloads, Cookies und Sitzungsereignisse zu einer chronologischen Sicht zusammen und normalisiert die Epoche jedes Browsers (siehe Zeitstempelformate). Filtern Sie nach Datumsbereich oder Stichwort; gruppieren Sie nach Tag für visuelle Mustererkennung.

Zur Korrelation mit dem Rest des Hosts wollen Sie meist dasselbe Zeitfenster aus:

  • MFT für Datei-Erstellung/-Änderung heruntergeladener Binaries.
  • USN-Journal für Lösch- und Umbenennungsaktivität im gleichen Zeitraum.
  • LNK-Dateien für heruntergeladene Dateien, die der Benutzer später geöffnet hat.
  • EVTX für PowerShell- oder Prozessaktivität im Anschluss an einen Download.

5. Exportieren

Exportieren Sie jede Tabelle oder die gefilterte Zeitleiste als CSV / JSON. Die Exporte verwenden strenge ISO-8601-UTC-Zeitstempel, sodass dieselbe Zeitleiste in Timeline Explorer, Excel und pandas identisch geöffnet wird.

Weiterführende Lektüre