Was ist Browser-Forensik?
2026-05-19 · 2 min
Browser-Forensik ist die praktische Auswertung dessen, was ein Browser auf der Festplatte hinterlässt, nachdem ein Benutzer, ein Angreifer oder ein Stück Schadsoftware ihn gesteuert hat. Es handelt sich um eine der ertragreichsten Artefaktklassen auf einer typischen Workstation: umfangreich, strukturiert und fast immer als SQLite oder LevelDB abfragbar, ohne dass der Browser laufen muss.
Was Sie tatsächlich auseinandernehmen
Jeder moderne Browser speichert in etwa dieselben Daten, lediglich anders organisiert je nach Hersteller. Die Kategorien, auf die Sie in echten Fällen zurückgreifen:
- Verlauf.
urlsundvisitsin Chromium,moz_places/moz_historyvisitsin Firefox,history_items/history_visitsin Safari. Enthält Besuchszähler, Übergangstyp und einen Zeitstempel pro Besuch. - Downloads. Quell-URL, MIME-Typ, Zielpfad, Bytezahlen, Start- und
Endzeit. In Chrome bewahrt die Tabelle
downloads_url_chainsdie Weiterleitungskette auf, die zur Datei geführt hat. - Cookies. Domain, Name, Pfad, Flags, Erstellung / letzter Zugriff / Ablauf. Der Wert ist seit v80 bei Chromium im Ruhezustand verschlüsselt; die Metadaten sind es nicht.
- AutoFill, gespeicherte Anmeldedaten, Zahlungsmethoden. Metadaten im Klartext, Geheimnisse mit dem DPAPI-Hauptschlüssel des Benutzers (Windows) oder dem Keychain (macOS) verschlüsselt.
- Lesezeichen und Sitzungen. Langlebige Absichten (Lesezeichen) versus sehr kurzlebige Absichten (Tabs, die beim Absturz geöffnet waren).
- Local Storage und IndexedDB. Web-App-Zustand in LevelDB-Ordnern, wo überraschend viele Beweise liegen (eingeloggte Identitäten für SaaS, Entwurfsnachrichten, JWT-Token, die noch parsbar sind).
Warum sich sorgfältige Arbeit lohnt
Die kombinierte Zeitleiste aus „URL besucht, Datei heruntergeladen, Cookie gesetzt, LocalStorage-Wert geschrieben" verknüpft häufig sekundengenau ein Konto mit einer Handlung. Diese artefaktübergreifende Bestätigung macht Browser-Beweise belastbar. Kombinieren Sie sie mit LNK-Metadaten für heruntergeladene Dateien, die später geöffnet wurden, der MFT für die Erstellung auf der Festplatte und dem USN-Journal für die Umbenennungs- und Löschspur, wenn jemand versucht hat aufzuräumen.
Stolpersteine
Behandeln Sie Kopien als schreibgeschützt. Erfassen Sie immer die -wal- und
-shm-Begleitdateien zusammen mit der SQLite-Hauptdatei, sonst übersehen Sie
unbemerkt die jüngsten Aktivitäten. Notieren Sie Zeitzonen ausdrücklich;
Chrome verwendet die WebKit-Epoche (1601), Firefox Mikrosekunden seit Unix,
Safari Mac Absolute Time (2001). Diese zu vermischen ist der häufigste
Analystenfehler.