Web 瀏覽器透過快取、Cookie 和瀏覽歷史記錄等儲存了使用者的線上活動資訊,例如訪問的網站、下載的檔案、以及訪問頻率和時間。這些資料在案件調查、入侵檢測和企業安全保障中極為重要。以下是常見瀏覽器的取證重點及工具介紹:
Google
Chrome
● 歷史記錄位置: C:\Users\<使用者名稱>\AppData\Local\Google\Chrome\User Data\Default\History
● 快取位置: C:\Users\<使用者名稱>\AppData\Local\Google\Chrome\User Data\Default\Cache
● Cookie 位置: C:\Users\<使用者名稱>\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies
● Google Chrome:
○ ChromeCacheView:分析 Chrome 快取內容。
○ ChromeCookiesView:查看和管理 Cookie。
○ ChromeHistoryView:檢視瀏覽歷史。
Mozilla Firefox
● 歷史記錄位置: C:\Users\<使用者名稱>\AppData\Roaming\Mozilla\Firefox\Profiles\<隨機字元>.default-release\places.sqlite
● 快取位置: C:\Users\<使用者名稱>\AppData\Local\Mozilla\Firefox\Profiles\<隨機字元>.default-release\cache2
● Cookie 位置: C:\Users\<使用者名稱>\AppData\Roaming\Mozilla\Firefox\Profiles\<隨機字元>.default-release\cookies.sqlite
○ MZCacheView:檢視快取內容。
○ MZCookiesView:分析 Cookie 資料。
○ MZHistoryView:分析歷史記錄。
Microsoft Edge
● 歷史記錄位置: C:\Users\<使用者名稱>\AppData\Local\Microsoft\Edge\User Data\Default\History
● 快取位置: C:\Users\<使用者名稱>\AppData\Local\Microsoft\Edge\User Data\Default\Cache
● Cookie 位置: C:\Users\<使用者名稱>\AppData\Local\Microsoft\Edge\User Data\Default\Network
○ IECacheView:查看 Edge 的快取。
○ EdgeCookiesView:分析 Cookie。
○ BrowsingHistoryView:統一查看瀏覽紀錄。
BrowsingHistoryView
工具
● 功能介紹: 提供整合性介面,讓使用者可以從多個瀏覽器中檢視瀏覽紀錄(如 Google Chrome、Firefox、Microsoft Edge 等)。瀏覽紀錄包括 URL、標題、訪問時間和次數。
● 系統需求:
○ 作業系統:Windows 所有版本。
○ 支援瀏覽器:Chrome、Firefox、Edge、Opera、Safari。
● 操作流程:
1. NirSoft官網下載工具並解壓縮。
2. 執行 BrowsingHistoryView.exe,在「Advanced Options」中選擇瀏覽器和日期範圍(預設為最近 10 天)。
3. 匯出結果為 CSV、HTML 或 XML 格式,用於分析。
Web 瀏覽器取證是數位取證中的重要領域,通過分析快取、Cookie 和歷史記錄,能有效還原使用者的線上活動,為案件調查和企業安全提供支持。借助專業工具(如 BrowsingHistoryView)能進一步提升取證效率與準確性。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:
https://www.nirsoft.net/utils/browsing_history_view.html
https://www.nirsoft.net/web_browser_tools.html#google_vignette
