网络安全取证(十五)应用取证

admin 2022年11月15日03:09:53取证分析评论6 views2676字阅读8分55秒阅读模式

关注公众号

回复“河南等保1028”获取“网络取证电子书

了解更多取证知识


网络安全取证(一)定义和概念模型
网络安全取证(二)定义和概念模型之定义
网络安全取证(三)定义和概念模型之概念模型
网络安全取证(四)定义和概念模型之概念模型
网络安全取证(五)定义和概念模型之概念模型
网络安全取证(六)定义和概念模型之取证流程
网络安全取证(七)操作系统分析
网络安全取证(八)操作系统分析之存储取证
网络安全取证(九)操作系统分析之文件系统分析
网络安全取证(十)操作系统分析之存储取证
网络安全取证(十一)操作系统分析之块设备分析
网络安全取证(十二)数据恢复和文件内容雕刻
网络安全取证(十三)数据恢复和文件内容雕刻(下)
网络安全取证(十四)主存储器取证

《网络安全知识体系》

网络安全取证(十三)

应用取证



应用取证

应用取证是为特定应用程序建立以数据为中心的操作理论的过程。分析的目标是客观地建立数据输入和输出之间的因果依赖关系,作为用户与应用程序交互的函数。根据应用程序是开放源还是封闭源以及随附文档的级别,所需的分析工作可能会有所不同,从阅读详细规范到反向工程代码、数据结构和通信协议,再到执行耗时的黑盒差分分析实验。或者,取证工具供应商可以许可应用程序供应商的代码,以获得对专有数据结构的访问。

分析应用程序的最大优势在于,我们有更好的机会观察和记录用户行为的直接证据,这对法律程序至关重要。此外,相关法医痕迹的抽象级别往往具有与特定领域相对应的抽象级别。

4.1   案例研究:Web浏览器

尽管至少有四种主要的网络浏览器在使用,但经过20多年的发展,它们的功能已经融合,因此我们可以用共同的术语来讨论它们。有六个主要的取证信息来源:

URL/搜索历史记录。目前,维护完整的浏览历史(访问过的网站的日志)没有实际障碍,向用户提供是一个主要的可用性特征;大多数用户很少删除此信息。另外,谷歌和Facebook等服务提供商出于商业原因对这些信息感兴趣,并使其易于与多台设备共享浏览日志。结合本地文件缓存的内容,浏览历史记录使调查人员几乎可以在感兴趣的用户浏览Web时查看他们的肩膀。特别是,分析搜索引擎的用户查询是最常用的技术之一。搜索查询被编码为URL的一部分,并且通常可以提供关于用户试图完成什么的非常明确和有针对性的线索。

表单数据。浏览器可以方便地记住自动完成的密码和其他表单数据(如地址信息)。这对调查员非常有帮助,尤其是当用户缺乏安全意识并且没有使用主密码来加密所有这些信息时。

临时文件。本地文件缓存提供其自己的web活动年表,包括下载并显示给用户的实际web对象的存储版本(这些可能不再在线可用)。尽管由于动态内容的使用增加,缓存的效率大大降低,但由于可用存储容量的大幅增加,缓存对缓存的数据量几乎没有实际限制(如果有的话),这一点受到了限制。

下载的文件默认情况下,从不删除,提供了另一个有价值的活动信息源。

HTML5本地存储为web应用程序提供本地存储信息的标准手段;例如,这可以用于支持断开连接的操作,或提供用户输入的持久性度量。因此,可以查询相同的界面以重构web活动。

曲奇饼是服务器用来在web客户端上保存各种信息的不透明数据,以支持诸如web邮件会话之类的事务。在实践中,大多数cookie都被网站用来跟踪用户行为,并且有充分的证据表明,一些提供商会竭尽全力确保这些信息具有弹性。一些cookie是有时间限制的访问令牌,可以提供对在线帐户的访问(直到过期);其他的具有可解析的结构并且可以提供附加信息。

大多数本地信息存储在SQLite数据库中,这些数据库为数据恢复提供了辅助目标。特别是,表面上被删除的记录可能会一直存在,直到数据库被明确地“清空”;否则,它们在以后的时间仍可以恢复。

渗透测试过程中所需工具

渗透测试:信息安全测试和评估技术指南NIST  SP 800-115

苹果发布iOS  16.1 和 iPadOS 16

法国对人脸识别公司Clearview  AI处以罚款

Offensive Security渗透测试报告模板

法国对人脸识别公司Clearview  AI处以罚款

密码报告:蜜罐数据显示针对 RDP、SSH 的 Bot 攻击趋势

网络安全取证(十一)操作系统分析之块设备分析

国外网络安全一周回顾20221024

黑客开始利用关键的“Text4Shell”Apache Commons Text 漏洞

黑客从Olympus  DAO 窃取30 万美元,后在同一天归还

防火墙与代理服务器

WAF VS 防火墙

什么是渗透测试?

渗透测试过程中所需工具

网络安全取证(十)操作系统分析之存储取证

网络安全取证(九)操作系统分析之存储取证

网络安全取证(八)操作系统分析之存储取证

网络安全取证(七)操作系统分析

国外网络安全一周回顾20221016

网络安全取证(六)定义和概念模型之取证流程

人员离职:减轻新的内部威胁的5种方法

网络安全取证(五)定义和概念模型之概念模型

来自美国CIA的网络安全良好习惯

备份:网络和数据安全的最后一道防线

西门子不排除未来利用全球私钥进行  PLC 黑客攻击的可能性

网络安全取证(四)定义和概念模型之概念模型

网络安全取证(三)定义和概念模型之概念模型

网络安全取证(二)定义和概念模型之定义

网络安全取证(一)定义和概念模型

在 Linux 中恢复丢失和删除的数据的步骤

Linux 补丁管理终极指南

网络安全运营和事件管理(二十九):处理:实际事件响应&后续行动:事后活动

网络安全运营和事件管理(二十八):准备:事件管理计划

为什么组织需要  EDR 和 NDR 来实现完整的网络保护

CISA 警告黑客利用关键的 Atlassian Bitbucket 服务器漏洞

美、越科技公司诬陷我黑客利用MS  Exchange 0-Days 攻击约10个组织

发现针对  VMware ESXi Hypervisor 的新恶意软件系列

英国情报机构军情五处被黑

英国情报机构军情五处被黑

在 Linux 中恢复丢失和删除的数据的步骤

Linux 补丁管理终极指南

网络安全运营和事件管理(二十九):处理:实际事件响应&后续行动:事后活动

网络安全运营和事件管理(二十八):准备:事件管理计划

为什么组织需要  EDR 和 NDR 来实现完整的网络保护

CISA 警告黑客利用关键的 Atlassian Bitbucket 服务器漏洞

美、越科技公司诬陷我黑客利用MS  Exchange 0-Days 攻击约10个组织

发现针对  VMware ESXi Hypervisor 的新恶意软件系列

英国情报机构军情五处被黑


原文始发于微信公众号(河南等级保护测评):网络安全取证(十五)应用取证

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月15日03:09:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全取证(十五)应用取证 http://cn-sec.com/archives/1409915.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: