Как обнаружить использование Tor Browser на компьютере: скрытые файлы и трафик

⚠️ Отсутствие артефактов ≠ отсутствие использования

   • Пользователь мог запустить Tor с LiveUSB

   • Артефакты могли быть намеренно удалены

   • Некоторые следы перезаписываются при активной работе системы



⚠️ Наличие артефактов ≠ доказательство злого умысла

   • Журналисты, активисты, исследователи используют Tor легально

   • В РФ использование Tor не запрещено, но может привлекать внимание



⚠️ Технические индикаторы требуют контекста

   • Сетевой трафик, похожий на Tor, может быть зашифрованным VPN

   • Файлы с именами «tor» могут быть частью легитимного ПО

🗂️ Tor Browser Bundle

├── 🌐 Firefox ESR (модифицированный)

│   ├── Профиль пользователя (по умолчанию в папке браузера)

│   ├── Кэш, куки, история, закладки

│   └── Расширения (NoScript, HTTPS Everywhere)

├── 🔁 Tor Daemon (tor.exe / tor)

│   ├── Конфигурация: torrc

│   ├── Ключи сессии, кэш цепей

│   └── Логи (если включены)

├── ⚙️ Лаунчер / оболочка

│   ├── Настройки запуска

│   └── Логи инициализации

└── 📁 Данные сессии

    ├── Временные файлы

    ├── Дампы памяти (при сбоях)

    └── Метаданные запуска

✅ Профиль по умолчанию внутри папки браузера

   → При запуске с USB/внешнего диска профиль остаётся там же

   → Но ОС всё равно может создать следы в системных областях



✅ Автоматическая очистка при закрытии

   → История, куки, кэш удаляются браузером

   → Но не всегда полностью: фрагменты могут остаться в unallocated space



✅ Портативность ≠ невидимость

   → Даже без установки в Program Files, Windows/macOS/Linux

     регистрируют запуск исполняемых файлов, сетевую активность,

     создание временных файлов



✅ Тор не шифрует локальные файлы

   → Конфигурации, логи, кэш хранятся в открытом виде

   → При доступе к диску их можно прочитать без дополнительных ключей

📁 Папки установки и профиля (по умолчанию):

• C:\Users\[USER]\Desktop\Tor Browser\

• C:\Users\[USER]\Downloads\Tor Browser\

• D:\Tor Browser\ (внешние носители)

• %APPDATA%\Tor\ (если профиль вынесен)



📄 Ключевые файлы:

• tor.exe — исполняемый файл Tor

• Browser\firefox.exe — модифицированный Firefox

• Data\Tor\torrc — конфигурация Tor (пути, порты, мосты)

• Data\Tor\control_auth_cookie — аутентификация контрольного порта

• Browser\Profiles\[HASH]\prefs.js — настройки профиля

• Browser\Profiles\[HASH]\places.sqlite — история, закладки (если не очищена)

• Browser\Profiles\[HASH]\cookies.sqlite — куки (временные)

• Browser\Profiles\[HASH]\cache2\ — кэш контента

• Data\Tor\state — состояние цепей, дескрипторы

• *.log, *.dmp — логи и дампы при сбоях



🔍 Дополнительные индикаторы:

• %TEMP%\tor_* — временные файлы при запуске

• %LOCALAPPDATA%\Temp\tor_* — альтернативный путь temp

• Prefetch\tor.exe-*.pf — запись Prefetch (если включена)

• Amcache.hve / RecentFileCache.bcf — запись о запуске исполняемого файла

• NTFS MFT — запись о создании файлов в папке Tor Browser

• USN Journal — события создания/модификации файлов

📁 Пути по умолчанию:

• ~/Desktop/Tor Browser.app/

• ~/Downloads/Tor Browser.app/

• /Volumes/[USB]/Tor Browser.app/



📄 Ключевые файлы:

• Tor Browser.app/Contents/MacOS/tor — исполняемый Tor

• Tor Browser.app/Contents/MacOS/firefox — Firefox ESR

• ~/Library/Application Support/TorBrowser-Data/ — профиль и данные

• ~/Library/Application Support/TorBrowser-Data/Tor/torrc — конфигурация

• ~/Library/Application Support/TorBrowser-Data/Browser/Profiles/ — профиль Firefox

• ~/Library/Caches/TorBrowser/ — кэш (может быть очищен)

• ~/Library/Logs/TorBrowser/ — логи (если включены)



🔍 Системные артефакты:

• ~/Library/Preferences/com.apple.recentitems.plist — недавние документы

• ~/.bash_history, ~/.zsh_history — команды запуска из терминала

• /var/log/system.log — системные события (запуск процессов)

• Spotlight index — индексация файлов в папке Tor Browser

• Quarantine metadata (xattr com.apple.quarantine) — метка о загрузке из интернета

📁 Пути по умолчанию:

• ~/Desktop/tor-browser/

• ~/Downloads/tor-browser/

• /mnt/usb/tor-browser/ (внешние носители)

• /opt/tor-browser/ (если установлена системно)



📄 Ключевые файлы:

• tor-browser_en-US/Browser/start-tor-browser — лаунчер

• tor-browser_en-US/Browser/TorBrowser/Tor/tor — исполняемый Tor

• tor-browser_en-US/Browser/TorBrowser/Data/torrc — конфигурация

• tor-browser_en-US/Browser/TorBrowser/Data/Browser/profile.default/ — профиль

• ~/.tor/ — альтернативная директория данных (если задана в torrc)

• /tmp/tor-* — временные файлы сессии



🔍 Системные артефакты:

• ~/.bash_history, ~/.zsh_history, ~/.fish_history — история команд

• ~/.local/share/recently-used.xbel — недавние файлы (GNOME)

• ~/.cache/ — кэш приложений, может содержать фрагменты

• /var/log/syslog, /var/log/auth.log — системные логи (запуск процессов)

• auditd logs (если включён) — детальные события выполнения

• inotify watches — мониторинг доступа к файлам (если настроен)

🔑 Ключи, которые могут содержать следы Tor:



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

→ Список недавно открытых файлов и папок (включая путь к Tor Browser)



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

→ История команд из диалога «Выполнить» (если запускали через Win+R)



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\JumpListRecent

→ Jump List записи для исполняемых файлов



HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

→ Настройки отображения папок (если открывали папку Tor в проводнике)



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bfe\Parameters\Policy\PolicyOperators

→ Может содержать записи о сетевых фильтрах, если Tor блокировался



🔍 Дополнительно:

• NTUSER.DAT USN Journal — изменения в профиле пользователя

• Registry transaction logs (.LOG1, .LOG2) — отложенные записи

• Volume Shadow Copies — предыдущие версии реестра

📄 Файлы конфигурации:

• ~/Library/Preferences/com.apple.LaunchServices.plist

  → Записи о зарегистрированных приложениях (включая Tor Browser.app)



• ~/Library/Preferences/com.apple.recentitems.plist

  → Недавние документы и приложения



• ~/Library/Preferences/com.apple.systempreferences.plist

  → Настройки, которые могли измениться при запуске сетевого ПО



• /var/db/dslocal/nodes/Default/users/[user].plist

  → Информация о пользователе, время последнего входа



🔍 Системные метаданные:

• xattr -l [файл] — расширенные атрибуты (quarantine, com.apple.metadata:kMDItem*)

• mdfind — поиск по Spotlight index (может выдать файлы в папке Tor)

📄 Файлы настроек:

• ~/.config/autostart/ — автозагрузка приложений

• ~/.local/share/applications/ — пользовательские .desktop-файлы

• /etc/environment, ~/.profile, ~/.bashrc — переменные среды



🔍 Переменные, которые могут указывать на Tor:

• TOR_BROWSER_DATA_DIR — кастомный путь к данным Tor

• TOR_CONTROL_PORT — порт контрольного интерфейса

• LD_PRELOAD, LD_LIBRARY_PATH — если подгружались кастомные библиотеки



🔍 История команд:

• grep -i "tor\|start-tor" ~/.bash_history ~/.zsh_history

• journalctl --user -u gnome-session -b | grep -i tor

📊 Локальные сетевые соединения:

• Процесс tor.exe / tor устанавливает исходящие соединения на:

  - Порты 9001, 9030, 9050 (по умолчанию)

  - Случайные высокономерные порты для цепей



• Соединения с известными директориями и ретрансляторами:

  - Список узлов можно получить из consensus-документа сети Tor

  - IP-адреса меняются, но диапазоны и поведенческие паттерны — постоянны



• Характер трафика:

  - Множество коротких соединений с разными хостами

  - Равномерное распределение размера пакетов (защита от fingerprinting)

  - Отсутствие чётких паттернов запросов (в отличие от обычного браузера)



🛠️ Команды для анализа:

# Windows

netstat -ano | findstr "9001 9050"

Get-NetTCPConnection | Where-Object {$_.OwningProcess -like "*tor*"}



# Linux/macOS

lsof -i -P -n | grep tor

ss -tlnp | grep tor

netstat -anp | grep tor

📡 Сетевые сигнатуры (IDS/IPS, SIEM):

• JA3 fingerprint Tor Browser

  → Уникальный отпечаток TLS-клиента модифицированного Firefox

  → Можно детектировать через Suricata, Zeek, Cisco Stealthwatch



• DNS-запросы к .onion-доменам

  → Прямые запросы к .onion невозможны без Tor, но попытки

    разрешения таких имён через обычный DNS — индикатор



• Поведенческие аномалии:

  - Высокая частота соединений с новыми уникальными хостами

  - Отсутствие повторяющихся сессий к одним и тем же ресурсам

  - Трафик, не соответствующий профилю пользователя/отдела



🛠️ Правила для детектирования (примеры):

# Suricata rule для JA3 Tor Browser

alert tls any any -> any any (msg:"Tor Browser JA3 detected";

  ja3.hash:"<TOR_JA3_HASH>"; sid:1000001; rev:1;)



# Zeek script для обнаружения множественных исходящих соединений

event connection_established(c: connection) {

    if (c$id$resp_p / 60 > 50) { # >50 соединений в минуту

        print fmt("Possible Tor activity: %s", c$id$orig_h);

    }

}

🔧 Инструменты:

• Wireshark: фильтры по портам, анализ временных интервалов, статистика разговоров

• NetworkMiner: извлечение файлов и хостов из PCAP

• Arkime (ранее Moloch): полнотекстовый поиск по сетевым метаданным



🎯 Что искать:

• Повторяющиеся соединения с одними и теми же диапазонами IP

• Отсутствие чётких доменных имён в трафике (Tor шифрует SNI)

• Паттерны «heartbeat» — периодические служебные пакеты для поддержания цепей

🧠 Что может остаться в RAM:

• Строки конфигурации: пути к torrc, настройки мостов, прокси

• URL посещённых сайтов (в декодированном виде в памяти Firefox)

• Ключи сессии, cookie, токены аутентификации

• Фрагменты загруженного контента: изображения, документы, скрипты



🛠️ Инструменты для анализа памяти:

• Volatility 3 / Rekall — фреймворки для форензик-анализа дампов

• MemProcFS — файловая система для доступа к памяти в реальном времени

• LiME (Linux) / WinPMEM (Windows) — утилиты для создания дампов



🎯 Полезные плагины Volatility 3:

• windows.pslist / linux.pslist — список процессов, поиск tor.exe / tor

• windows.cmdline / linux.psenv — аргументы запуска и переменные среды

• windows.netscan / linux.netstat — сетевые соединения процессов

• windows.filescan / linux.find — поиск файлов по сигнатурам в памяти

• strings + grep — простой поиск строк «tor», «onion», «socks» в дампе

📄 Crash dumps и логи отладки:

• Windows: %LOCALAPPDATA%\CrashDumps\tor.exe.dmp, firefox.exe.dmp

• macOS: ~/Library/Logs/DiagnosticReports/Tor*.crash

• Linux: core-файлы в рабочем каталоге или /var/crash/



🔍 Что можно извлечь:

• Стек вызовов на момент сбоя (может содержать URL, пути, конфигурацию)

• Значения переменных в памяти

• Загруженные модули и библиотеки



🛠️ Анализ дампов:

• WinDbg / kd (Windows) — отладка crash dumps

• lldb (macOS/Linux) — анализ core-файлов

• strings, binwalk — быстрый поиск читаемых строк в бинарных файлах

📋 Журналы, которые могут содержать следы:



Security.evtx:

• Event ID 4688: создание нового процесса (если включён аудит)

  → Командная строка запуска tor.exe / firefox.exe

• Event ID 5156: разрешение сетевого подключения

  → Порт, протокол, процесс, направление



System.evtx:

• Event ID 7045: установка новой службы (если Tor установлен как сервис)

• Event ID 1001: отчёты об ошибках приложений (crash reports)



Application.evtx:

• События от сторонних антивирусов / EDR, которые могли детектировать Tor



🛠️ Запросы PowerShell:

# Поиск событий создания процесса с «tor» в командной строке

Get-WinEvent -FilterHashtable @{LogName='Security';Id=4688} |

  Where-Object {$_.Message -like "*tor*"} |

  Select-Object TimeCreated, Message



# Поиск сетевых событий по портам Tor

Get-WinEvent -FilterHashtable @{LogName='Security';Id=5156} |

  Where-Object {$_.Message -match "9001|9030|9050"}

📋 Системные журналы:

• /var/log/system.log — устаревший, но ещё используемый формат

• Unified Log (через `log show`) — основной источник в современных macOS



🛠️ Команды для анализа:

# Поиск записей о запуске Tor

log show --predicate 'process == "tor" OR process == "firefox"' \

  --last 24h --info



# Поиск сетевых событий

log show --predicate 'eventMessage contains "socket" OR eventMessage contains "connect"' \

  --last 1h --debug | grep -i tor



# Экспорт в CSV для дальнейшего анализа

log show --predicate 'process == "tor"' --last 7d \

  --style syslog --format '%$Time,%process,%eventMessage' > tor-logs.csv

📋 Основные источники логов:

• /var/log/syslog, /var/log/messages — общие системные события

• /var/log/auth.log — аутентификация, sudo, запуск от имени пользователя

• journalctl — systemd-журнал (все дистрибутивы с systemd)

• /var/log/audit/audit.log — детальные события, если включён auditd



🛠️ Команды для поиска:

# Поиск в journalctl по процессу

journalctl -t tor -t firefox -b --no-pager



# Поиск в audit.log (если включён)

ausearch -c tor -i

ausearch -c firefox -sc execve -i



# Поиск сетевых событий через auditd

ausearch -sc connect,bind -i | grep -E "9001|9030|9050"



# Быстрый поиск по всем логам

grep -r -i "tor" /var/log/ 2>/dev/null | grep -v Binary

# PowerShell: быстрый сканер артефактов на Windows

$indicators = @(

    "tor.exe", "start-tor-browser", "torrc", "control_auth_cookie",

    "Tor Browser", "*.onion", "socks5://127.0.0.1:9050"

)

$paths = @(

    "$env:USERPROFILE\Desktop", "$env:USERPROFILE\Downloads",

    "$env:APPDATA\Tor", "$env:LOCALAPPDATA\Temp"

)

foreach ($path in $paths) {

    foreach ($ind in $indicators) {

        Get-ChildItem -Path $path -Recurse -ErrorAction SilentlyContinue |

            Where-Object {$_.Name -like "*$ind*"} |

            Select-Object FullName, LastWriteTime, Length

    }

}

# Bash: сканер артефактов на Linux

#!/bin/bash

INDICATORS=("tor" "start-tor-browser" "torrc" ".onion" "socks5")

PATHS=("$HOME/Desktop" "$HOME/Downloads" "/tmp" "/var/log")



for path in "${PATHS[@]}"; do

    for ind in "${INDICATORS[@]}"; do

        find "$path" -type f -iname "*$ind*" 2>/dev/null | \

            xargs ls -ld --time-style=+%Y-%m-%d 2>/dev/null

    done

done

rule Tor_Browser_Artifacts {

    meta:

        description = "Detects Tor Browser files and configuration"

        author = "Forensic Research Team"

        date = "2026-04"

    strings:

        $tor_exe = "tor.exe" ascii wide

        $torrc = "ControlPort" ascii

        $onion = ".onion" ascii

        $firefox_tor = "TorBrowser" ascii

    condition:

        any of them or

        (filesize < 50MB and 2 of them)

}

✅ Анализ собственных устройств для восстановления данных

✅ Расследование инцидентов в корпоративной сети (при наличии политик ИБ)

✅ Сбор артефактов с письменного согласия владельца устройства

✅ Публикация методик в образовательных целях (без персональных данных)

❌ Доступ к личным устройствам без согласия или судебного решения

❌ Использование обнаруженной информации для шантажа, доксинга, преследования

❌ Массовый мониторинг сотрудников без уведомления и правового основания

❌ Обход шифрования или извлечение данных без законных полномочий

️⃣ Не предпринимать самостоятельных действий (не удалять, не блокировать)

2️⃣ Зафиксировать артефакты: скриншоты, хеши файлов, логи

3️⃣ Уведомить ответственного за ИБ / руководителя / юридический отдел

4️⃣ Следовать внутренним процедурам расследования инцидентов

5️⃣ При необходимости — привлечь внешних экспертов с соблюдением закона

✅ Запускайте с внешнего носителя без записи на основной диск

✅ Используйте Tails OS — система, спроектированная для приватности

✅ Отключайте ведение логов в torrc: Log "stdout" notice → Log /dev/null warn

✅ Очищайте временные файлы и историю команд после сессии

✅ Используйте шифрование диска (BitLocker, FileVault, LUKS)

✅ Для максимальной анонимности — работайте через публичные сети (не корпоративные)

[ ] Проверить типовые пути установки: Desktop, Downloads, внешние диски

[ ] Поискать процессы tor.exe / tor в диспетчере задач / ps

[ ] Проверить сетевые соединения на порты 9001/9030/9050

[ ] Просканировать реестр / plist / историю команд на упоминания «tor»

[ ] Проверить Prefetch / Amcache / Spotlight на запуски Tor Browser

[ ] Извлечь и проанализировать профиль Firefox из папки Tor Browser

[ ] Проверить логи системы: Event Logs, journalctl, syslog

[ ] Проанализировать сетевые логи / PCAP на характерные паттерны

[ ] Создать дамп памяти и проверить на артефакты через Volatility

[ ] Применить YARA-правила для поиска файлов и строк, связанных с Tor

[ ] Зафиксировать хеши (SHA256) всех найденных артефактов

[ ] Сохранить временные метки создания/модификации файлов

[ ] Задокументировать цепочку изъятия и анализа (chain of custody)

[ ] Отделить факты (артефакты) от интерпретаций (мотивы, умысел)

[ ] Приложить рекомендации по дальнейшим действиям (при необходимости)

[✅] Проверили типовые пути на наличие артефактов Tor?

[✅] Настроили мониторинг сетевых индикаторов в своей инфраструктуре?

[✅] Ознакомились с юридическими требованиями вашей юрисдикции?



💬 Занимаетесь цифровой криминалистикой или ИБ-мониторингом? Поделитесь в комментариях — какие индикаторы Tor оказываются самыми надёжными на практике?