Un investigador forense digital a menudo se le pide responder a la pregunta: «¿Qué hizo la búsqueda de los usuarios para?» Por lo general, la cuestión gira en torno a los buscadores de Internet, y la producción de una lista depende del navegador en el juego tanto como el motor de búsqueda. Con los más de 250 motores de búsqueda y los 130 + los navegadores de Internet que se hace referencia en Wikipedia, donde se encuentran estas historias y en qué formato puede variar mucho. Añadir a que las distintas barras de herramientas que se mantienen datos independiente del navegador, y usted está probablemente listo para entregar salto a otro puesto en un tema menos desalentador!
Pero, probablemente descubrieron desde el título de este post que yo no voy a hablar de los más de 33.800 posibilidades navegador del motor / de búsqueda que usted necesita considerar cuando se produce una historia «búsqueda». En su lugar, voy a hablar de algo que acabo de descubrir, Facebook historial de búsqueda. Y como tantas sesiones de navegación web, comienzo de la discusión con una búsqueda en Google ….
Predicciones Google Instant
Apuesto a que la mayoría de los usuarios de Internet que tienen llevado a cabo una búsqueda en Internet en los últimos dos años se han hecho al menos una vez a través de Google. Si es así, probablemente han experimentado Google predicciones instantáneas. Introducido alrededor de septiembre de 2010, predicciones instantáneas produce resultados «instantáneos» a medida que escribe. Resultados de búsqueda comienzan poblando en base a la predicción de los términos de búsqueda de Google a medida que las escribe.
Desde el punto de vista forense, esto produce mucha más historia de Internet. Cada vez que Google rellena resultados, su envío de una página web y elementos. Y a menos que la conexión es lenta o la mecanógrafa es especialmente rápido, Google actualiza la página de resultados para cada letra tecleada por el usuario Considere una búsqueda en Google utilizando el navegador web Safari para el término : «lavado de coches» (obtenido del Safari cache.db)
http:/ / www.facebook.com/ajax/typeahead/search.php?__a=1&value = sl&viewer=##########&filter%5B0%5D=page&filter%5B1%5D=user&context=mentions&dark_launch=true&rsp=mentions
Http://www.facebook.com/ajax/typeahead/search.php?__a=1&value = slo y un espectador = # # # # # # # # # # &filter%5B0%5D=page&filter%5B1%5D=user&context=mentions&dark_launch=true&rsp=mentions
Http://www.facebook.com/ajax/typeahead/search.php?__a=1&value = slo. y un espectador = # # # # # # # # # # &filter%5B0%5D=page&filter%5B1%5D=user&context=mentions&dark_launch=true&rsp=mentions
Http://www.facebook.com/ajax/typeahead/search.php?__a=1&value = slo.sl y un espectador en = # # # # # # # # # # &filter%5B0%5D=page&filter%5B1%5D=user&context=mentions&dark_launch=true&rsp=mentions
Http://www.facebook.com/ajax/typeahead/search.php?__a=1&value = slo.sleuth y un espectador en = # # # # # # # # # # &filter%5B0%5D=page&filter%5B1%5D=user&context=mentions&dark_launch=true&rsp=mentions
The velocidad de respuesta de Facebook no parece ser la de Google, pero de nuevo, es fácil ver que facebook envió varias respuestas que se almacenan en caché por Safari relacionada con una sola búsqueda a través del mecanismo de «typeahead».
Ahora, las búsquedas de Facebook se pueden grabarse en las bases de datos el historial del navegador, pero tenga en cuenta que estas bases de datos pueden ser destruidos a través de técnicas anti-forenses o de otra manera. Búsqueda de direcciones URL podría ser el único método a su disposición para producir término de búsqueda historias. Y ahora, como yo, usted sabe lo que debe buscar para reconstruir búsquedas de Facebook!
