Na pierwszy ogień weźmy przeglądarki Firefox i Google Chrome. Z funkcjonalnego punktu widzenia przechowują one dane w bardzo zbliżony sposób, choć istnieje oczywiście wiele różnic. Obie przeglądarki jako podstawowe źródło przechowywania danych wykorzystują bazę SQLite. Podobnie też ułożona jest pamięć podręczna.

W przypadku Firefoksa w bazach SQLite przechowywane są m.in. historia odwiedzanych stron, zakładki, ustawienia samej przeglądarki, informacje o pobieranych plikach, ciasteczka, historia wypełnianych formularzy czy wyszukiwanych treści.

Na naszym testowym Ubuntu widać kilkanaście baz danych:

Zawartość tych baz możemy łatwo podejrzeć - na przykład korzystając z linuksowego sqlite3. Weźmy plik places.sqlite, który zawiera m.in. informacje o odwiedzonych stronach. Sprawdźmy, z jakich tabel się składa:

# sqlite3 places.sqlite

Najciekawsze dla śledczego informacje z tej bazy zawierają przede wszystkim dwie tabele - moz_places i moz_historyvisits. Korzystając znowu z sqlite3, możemy podejrzeć ich strukturę:

Dlaczego akurat te dwie tabele? Otóż moz_places to nic innego, jak lista odwiedzanych witryn. Z kolei w moz_historyvisits, oprócz daty ostatniej wizyty, mamy także podany jeden z siedmiu typów wizyty. Typ wizyty podpowiada, jak użytkownik dotarł do danej strony: poprzez link, wpisanie adresu "z palca", wykorzystanie "Zakładki", czy też zawartość została wgrana dynamicznie (bez ingerencji użytkownika) lub odwiedziny są wynikiem przekierowania. Mając te dwie tabele, jesteśmy w stanie skorelować informacje między nimi, używając do tego celu identyfikatorów. Te dla obu tabel są wspólne, tzn. "place_id" w moz_historyvisits pokrywa się z "id" z moz_places. Pewną trudnością będzie odcyfrowanie daty. Pomoże tu narzędzie TimeLord, autorstwa Paula Tew (computerforensics.parsonage.co.uk/timelord/)? Z jego pomocą przekonwertujemy daty do czytelnej postaci.