dartについて

dartはDEFT Linuxに付属してくるフォレンジックツールで、DEFT Linuxといえば皆さんご存知のフォレンジックに特化したLinuxとなっています。

dartはDEFT Linuxを起動せずとも利用ができます。
その方法については調べれば簡単に出ると思いますので、今回は割愛させていただきます。

dartでGoogle Chromeの履歴を見てみる

今回はざっくりとdartについてやるので、分かりやすいGoogle Chromeの履歴を見てみることにしたいと思います。

まずはdartを起動します。
そうすると以下の様な画面になるかと思います。

その後、Forensics -> Browser -> ChromeHistoryViewを選択、起動します。

これはGoogle Chromeの履歴を解析するためのツールになります。
その他にもキャッシュ解析やクッキー解析のツールも用意させています。
ブラウザによってそれらはデータ構造が異なるため、ツールで見るのが一番手っ取り早く解析できると思います。

そして次にファイルの指定をします。
今回は直接、ファイルの場所をしていしますがもしかしたらCTFなんかでHistoryファイルだけをわたされることもあるかもしれませんね。

Windowsの場合:C:¥Users¥ユーザー名¥AppData¥Local¥Google¥Chrome¥UserData¥Default¥History
Macの場合:~/Library/Application Support/Google/Chrome/Default/History

上記の場所をOptionから指定して読み込ませます。

そうすると以下のように結果を取得できます。

パッと見てすぐに分かるかと思いますが、訪れたサイトのURLやタイトル、日付などがリストとなっています。

まとめ

今回はChromeの履歴を見るという簡単なことを試してみましたが、キャッシュやクッキーであったり、その他にもdartにはさまざまなフォレンジックツールがあります。
これらをすべて扱えるようになれば確実にCTFでフォレンジックの問題はとれるのではないでしょうか(笑)
みなさんもぜひ使ってみてください。