browserforensics
Zurück zu allen Artikeln

Was ist Browser-Forensik?

2026-05-19 · 2 min

Browser-Forensik ist die praktische Auswertung dessen, was ein Browser auf der Festplatte hinterlässt, nachdem ein Benutzer, ein Angreifer oder ein Stück Schadsoftware ihn gesteuert hat. Es handelt sich um eine der ertragreichsten Artefaktklassen auf einer typischen Workstation: umfangreich, strukturiert und fast immer als SQLite oder LevelDB abfragbar, ohne dass der Browser laufen muss.

Was Sie tatsächlich auseinandernehmen

Jeder moderne Browser speichert in etwa dieselben Daten, lediglich anders organisiert je nach Hersteller. Die Kategorien, auf die Sie in echten Fällen zurückgreifen:

  • Verlauf. urls und visits in Chromium, moz_places / moz_historyvisits in Firefox, history_items / history_visits in Safari. Enthält Besuchszähler, Übergangstyp und einen Zeitstempel pro Besuch.
  • Downloads. Quell-URL, MIME-Typ, Zielpfad, Bytezahlen, Start- und Endzeit. In Chrome bewahrt die Tabelle downloads_url_chains die Weiterleitungskette auf, die zur Datei geführt hat.
  • Cookies. Domain, Name, Pfad, Flags, Erstellung / letzter Zugriff / Ablauf. Der Wert ist seit v80 bei Chromium im Ruhezustand verschlüsselt; die Metadaten sind es nicht.
  • AutoFill, gespeicherte Anmeldedaten, Zahlungsmethoden. Metadaten im Klartext, Geheimnisse mit dem DPAPI-Hauptschlüssel des Benutzers (Windows) oder dem Keychain (macOS) verschlüsselt.
  • Lesezeichen und Sitzungen. Langlebige Absichten (Lesezeichen) versus sehr kurzlebige Absichten (Tabs, die beim Absturz geöffnet waren).
  • Local Storage und IndexedDB. Web-App-Zustand in LevelDB-Ordnern, wo überraschend viele Beweise liegen (eingeloggte Identitäten für SaaS, Entwurfsnachrichten, JWT-Token, die noch parsbar sind).

Warum sich sorgfältige Arbeit lohnt

Die kombinierte Zeitleiste aus „URL besucht, Datei heruntergeladen, Cookie gesetzt, LocalStorage-Wert geschrieben" verknüpft häufig sekundengenau ein Konto mit einer Handlung. Diese artefaktübergreifende Bestätigung macht Browser-Beweise belastbar. Kombinieren Sie sie mit LNK-Metadaten für heruntergeladene Dateien, die später geöffnet wurden, der MFT für die Erstellung auf der Festplatte und dem USN-Journal für die Umbenennungs- und Löschspur, wenn jemand versucht hat aufzuräumen.

Stolpersteine

Behandeln Sie Kopien als schreibgeschützt. Erfassen Sie immer die -wal- und -shm-Begleitdateien zusammen mit der SQLite-Hauptdatei, sonst übersehen Sie unbemerkt die jüngsten Aktivitäten. Notieren Sie Zeitzonen ausdrücklich; Chrome verwendet die WebKit-Epoche (1601), Firefox Mikrosekunden seit Unix, Safari Mac Absolute Time (2001). Diese zu vermischen ist der häufigste Analystenfehler.

Weiterführende Lektüre