Dumpzilla nedir?
“Dumpzilla,” bilgisayar belleğindeki dijital kanıtları inceleyip analiz etmek için kullanılan Python 3.x ile yazılmış bir araçtır. Genellikle Digital Forensic alanında kullanılır ve çeşitli işletim sistemlerinde çalışabilir.
Şuradan indirebilirsiniz=> https://www.dumpzilla.org/
Dumpzilla gibi araçlar, Firefox tarayıcısından elde edilen verilerin analizini ve izlerin sürülmesini sağlar. Bu yazı, Dumpzilla’nın nasıl kullanılacağını anlamanıza ve Firefox tarayıcısından elde edilen verileri etkili bir şekilde analiz etmenize yardımcı olacaktır.
Öncelikle ubuntu gibi linux tabanlı sistemlerde firefox loglarını şu şekilde bulabilirsiniz:
Bu dosyalar farklı işletim sistemlerinde farklı yerlerde bulunabilir. .default uzantılı klasörler altında istediğimiz loglar bulunur. Ancak iyi haber, Dumpzilla istediğiniz dataları belli parametrelerle size getirecek ve burada kaybolmak zorunda kalmayacaksınız.
Dumpzilla kurulumunun detaylarına şuradan ulaşabilirsiniz => https://www.kali.org/tools/dumpzilla/
Kısaca Linux tabanlı sistemlerde apt install dumpzilla ile direk kurulum yapabilirsiniz.
Tek önemli nokta dumpzillayı çağırırkenki vereceğiniz profili doğru vermeniz.
İlgili dizinden dumpzillayı kontrol ediyorum ve sonrasında profili verip incelemeye başlıcam.
–Summary komutu ile aslında dumpzilla’nın bana gösterebileceği detayları görebilirim.
Yada ekstra usage alanında bana dokunabileceğim noktaları göstermekte:
- History, bookmarks, and cookies
- Browser saved passwords, forms, session data
- User preferences and addons
- Downloads
- Session data
- Live user surfing, URL open in each tab
Genel bi datalara baktıktan sonra geliştirilmiş komutlarla inceleme yapmaya çalışacagız. Örneğin Addonlarla başlayabiliriz:
URL/Path olarak 3 çıktı verdi.
Search Engine’in çektiği çıktılar:
Bookmarkları title’ları, creatation dateleri ve datayı nereden çektiği bilgisiyle birlikte görebilirsiniz.
Cookieleri inceleyelim, ama biraz daha özelleştirerek bakmak istersek:
Aşagıdaki komut, verilen iki tarih arasında domainleri ve bunların DOM verilerini erişilen cookielerle birlikte yazdırır.
–Cookies -domain google% -showdom
Cookilerde domain aramak için:
–Cookies -domain google%
Buradaki % gibi ifadeler regex kullanımda desteklediğine işaret ediyor.Spesifik aramak istediğim her data için dogru sonuç için regex kullanabilirim.
Yada bir time range vermek istersem:
–Cookies -domain google% -last_range “2021-03-04 01:28:09” “2021-03-04 01:28:51” -secure 0 -httponly 0 -showdom
BONUS:
–Cookies -create 02:35 -name GAPS
–Cookies -create 02:35:1% -name _AP%
–Cookies -create 2013-0_-04 %:35:1% -name %A__ -hostcookie www.google.com
Örneğin aşagıdaki komut ise,belirli tarih aralığında (2021-03-04 11:38:09″ “2021-03-04 11:18:51” arasında) erişilen cookileri gösterir. Bu cookilerin Google alan adını içermesi gerekmektedir (-domain google% ile belirtilmiş). Ayrıca, bu cookieleri güvenli olmayan (-secure 0) ve yalnızca HTTP üzerinden iletilen (-httponly 0) cookiler olması gerekmektedir. Ve, -showdom seçeneği DOM verilerini göstermeyi sağlar.
–Cookies -domain google% -last_range “2021-03-04 11:38:09” “2021-03-04 11:18:51” -secure 0 -httponly 0 -showdom
Cookie’lerden sonra indirilen dataları görmek istersem:
–Downloads ile:
Burada da yine aynı şekilde time range ile advance search yapabilirim.
–Watch -text “yahoo\|live\|gmail”
“–Watch”ın “-text” seçeneğinin grep joker karakterlerini kullanabilirsiniz. Bu komut “-text” içeren tüm pencereleri/sekmeleri yazdırır.Bunu live olarak yaptıgı için sanal makinem crash oluyordu oyüzden örnek çıktıyı şöyle bırakayım.
istediğimiz dosyaları export alabiliriz –Export komutu ve hedef dizin adı vermemiz yeterli.Aşagıda gördüğünüz çıktı oldugumuz dizine home diye dizin olusturdu ve inceleme yaptıgımız dbleri buraya export etti.
–History ile Firefox geçmişini görüntüleme:
Ayrıca bu komutu da özelleştirmek istersek ve bir çok isteri birleştirmek istersek:
–Cookies -access “16:32:18” –Permissions -host addons.cdn.mozilla.net –History -date “14:27:32”
Örneğin bir case inceliyorum. History’lerde github sql injection payload izleri gördüm.Spesifik olarak URL verip son ziyaret zamanını ve ilgili outputu direk görebilirim.
Yada case anında arama çubuğunda en çok aranan anahtar kelime nedir, ve kaç kez arandı bunları bulmak istiyorum:
-frequency
: Arama geçmişindeki anahtar kelimelerin sıklığını belirten bir parametre. Bu parametre, her anahtar kelimenin kaç kez arandığını listeler.sort -k2 -nr
: Çıktıyı sıklığa göre azalan şekilde sıralamak için kullanılan bir Linux komutudur.-k2
parametresi, ikinci sütuna (yani sıklık sütununa) göre sıralama yapılmasını sağlar.-nr
parametresi ise sayısal değerlere göre ters sıralama yapılmasını sağlar.head -n 1
: Sadece ilk satırı almak için kullanılan bir komuttur. Yani en sık kullanılan anahtar kelimeyi gösterir.
Spesifik satırlar için yada Historylerde istatistikleri özelleştirmek için:
awk -F/ '{print $3}'
: URL’leri “/” karakterine göre ayırır ve sadece alan adlarını (3. sıradaki bölüm) alır.sort
: Alan adlarını alfabetik olarak sıralar.uniq -c
: Benzersiz alan adlarını sayar.sort -nr
: Sayısal olarak büyükten küçüğe doğru sıralar (en çok ziyaret edilen alan adı en üstte olacak şekilde).head -n 1
: Sadece en çok ziyaret edilen alan adını gösterir.
Keypinning’leri kontrol etmek için:
(
“Key pinning” (anahtar belirleme), web tarayıcılarının belirli bir web sitesinin sertifikasının güvenilirliğini doğrulamasına yardımcı olan bir güvenlik mekanizmasıdır. Bu mekanizma, tarayıcının belirli bir web sitesinin sertifikasını sağlayan sertifika yetkilileri yerine belirli bir listeyle (anahtar pinlerini içerir) uyumlu olduğunu kontrol eder. Bu, potansiyel olarak zararlı sertifikaları tespit edip engelleyerek kullanıcıları siber saldırılardan koruyabilir.
Dumpfile Keypinning çıktıları ise genellikle tarayıcının içinde saklanan veya kaydedilen belirli veri türlerini temsil eder. Örneğin, tarayıcının güvenlik özelliklerine ilişkin bilgileri içerebilirler.
“Type hsts” ifadesi, bu çıktıların HSTS (HTTP Strict Transport Security) gibi belirli bir türde olduğunu belirtmektedir. HSTS, tarayıcının belirli bir web sitesiyle sadece güvenli HTTPS bağlantıları kullanmasını zorlayan bir güvenlik mekanizmasıdır. Dolayısıyla, “type hsts ” ifadesi, belirli bir türdeki güvenlik bilgilerini işaret eder.
)
Firefoxda klasik ayarları görüntülemek için –Preference paremetresi kullanılabilir:
Browser üzerine kaydedilen parametreleri görmek için –Password
İzinleri görmek için ise –Permission
--verbosity
komutu, belirli bir düzeyde hata ayıklama ve bilgilendirme seviyesini belirlemek için kullanılır. Benim incelediğim imajda yer almadıgı için sonuç vermedi.
Yine aktif session varsa görmek için –Session
Ayrıca tırnak resim dediğimiz Thumbnails datalarını görmek için –Thumbnails komutu kullanılır.(“Thumbnails” (küçük resimler), genellikle bir web tarayıcısında ziyaret edilen web sayfalarının küçük, önizleme boyutundaki görüntüleridir. Tarayıcılar, kullanıcıların geçmişlerini ve favori web sitelerini görsel olarak tanımlamalarına yardımcı olmak için bu küçük resimleri kullanabilirler. Ayrıca, tarayıcılar, hızlı bir şekilde web sayfalarını tanımlamak ve kullanıcılara daha hızlı bir şekilde gezinme sağlamak için bu önizlemeleri kullanabilirler.)
Burada totolde 10 tane görseli Thumbnails image olarak kaydettiğini görebiliyorum.
Dumpzilla bildiğimiz bir çok tooldan daha az bilinen ancak çok işlevli bir forensic tooldur. Bu yazıda Dumpzillanın çeşitli parametlerine çeşitli örnekler vererek parametreleri özelleştirerek daha işlevli kullanımlarını göstermeye çalıştım. Faydalı olması dileğiyle.
Referanslar: