关于LNK文件的思考
这里是复习 ^_^
针对上一期主机取证 - LNK文件和跳转文件,思考一下下面的两个问题:
> 如果一个LNK文件中没有嵌入的时间属性,那么其指向的目标文件在LNK文件创建后有没有被打开过?
> 如果LNK文件中有相应的嵌入时间,且与LNK文件的创建、访问、修改时间基本相同,则表示其指向的目标文件在LNK文件创建后有没有被打开过?
如果不太清楚该如何回答,可以回头复习一下上一期的相关内容
> 参考答案嘛,期待下一期我没有忘记 
> 顺便说一下,各期文章中提到的参考文献 ,如有需要的,请在后台留言,同时留下电子邮箱,然后,静等查收
浏览器取证——背景
很多企业有相关的网络安全及资源使用政策
> 如:禁止员工利用企业的网络资源查看色情网站、黑客网站、休闲娱乐站点或玩网络游戏等
个人的网络活动可以被用来证明或反驳相关的违法、违规或嫌疑行为
> 表明是否有网络资源的不恰当使用情况等
> 浏览器取证的相关技术较为成熟,现有的取证软件,基本上均可对主流浏览器的相关操作(浏览)行为进行取证分析
基本原理
网页浏览器(Web Browser)
> 通常也简称为浏览器,是一种在万维网(World Wide Web)中用于检索、展现及传输信息资源的软件客户端
> 会在计算机的硬盘中留下一些常见的痕迹,如:搜索、查看、下载的痕迹
> 常用的浏览器有:
-- 五大浏览器:IE(Edge)、Chrome、Firefox、Opera、Safari
-- 国内浏览器:QQ、百度、搜狗、猎豹、360、UC、遨游、百分 浏览器
-- 国内的浏览器,其内核有可能是IE或者Chrome
上网后,会有大量信息反映你的所作所为(以IE为例)
> Internet临时文件夹:里面会有一些图片、Flash等文件,可以了解曾经浏览过的网站
> 小甜饼Cookies:网站可以利用Cookies中包含的信息来判断用户在HTTP传输中的状态,比如会有一些自动登录选项的数据
> 访问网页的历史记录:默认情况下,IE会将最近三周的历史记录下来
> IE记住的表单内容:当访问网站时,一些网页会提示输入,如:搜索时会要求搜索内容、登录邮箱要填用户名/密码,这些会被IE自动记录
> 地址栏列表中的网址:在IE地址栏中输入要访问站点的部分字母时会自动打开列表,会有曾访问的相匹配的站点信息
> 另外,还有缓存(Cache)、收藏夹(Favorites)、下载的资源列表等相关内容
类似内容,可以反映用户的操作行为
其他浏览器也会有类似的存储机制,可分别进行检视
扩展知识:关于浏览器的内核
> 四大内核:Trident(也称IE内核)、Webkit、Blink、Gecko
-- IE浏览器内核:Trident内核,也是俗称的IE内核
-- Chrome浏览器内核:统称为Chromium内核或Chrome内核,以前是Webkit内核,现在是Blink内核
-- Firefox浏览器内核:Gecko内核,俗称Firefox内核
-- Safari浏览器内核:Webkit内核
-- Opera浏览器内核:最初是自己的Presto内核,后来是Webkit,现在是Blink内核
-- 360浏览器、猎豹浏览器内核:IE+Chrome双内核
-- 搜狗、遨游、QQ浏览器内核:Trident(兼容模式)+Webkit(高速模式)
-- 百度浏览器、世界之窗内核:IE内核
-- 2345浏览器内核:以前是IE内核,现在也是IE+Chrome双内核
-- 相关内容可以参看"kookic"的文章"五大主流浏览器及四大内核"。可以长按以下二维码,识别之后进一步了解
典型案例
上网痕迹调查
> 2004年马加爵残杀4名同学后出逃,随后公安部发出了A级通缉令
> 警方发现马加爵出逃前,曾将自己的电脑硬盘多次格式化,公安人员将他的电脑硬盘进行恢复取证
> 公安机关对马加爵曾经使用过的电脑进行了周密分析,发现马加爵在案发前后曾经大量浏览一些省、市的地理、人文情况
> 其中海南省是他网上浏览比较多的地区。他曾经关注过海南的旅游、出租屋、房地产以及交通等信息,其中对三亚地区尤为关心
> 分析后发现,马加爵作案前曾上网查阅了大量有关三亚的资料,依照此线索,最终在三亚市河西区将其逮捕
-- 相关内容可以参看以下两篇文章中的相关介绍。可以长按以下二维码,识别之后进一步了解
······《福布斯》中文版:厦大退休教授刘祥南 创业永远不会晚
······电子数据取证——还原网络犯罪过程,追踪网络犯罪分子
部分网络资源
> 开源项目Infornito
-- "globecyber"在Github上给出了一个开源项目"Infornito",该项目给出了一个从 Chrome、Firefox、Safari 浏览器中提取相关信息的工具,两年前的代码。可以长按以下二维码,识别之后进一步了解
> 开源项目browser_forensics
-- "niftycode"在Github上给出了一个开源项目"browser_forensics",该项目给出了另一个可以获取Safari、Chrome、Firefox历史文件内容的工具,两年前的代码。可以长按以下二维码,识别之后进一步了解
> 开源项目IE-Recovery-Data-Parser
-- "kernel-sanders"在Github上给出了一个开源项目"IE-Recovery-Data-Parser",该项目给出了一个用于提取和解析 IE 会话恢复数据的取证小工具,十年前的代码,但是思路还是值得了解一下的。可以长按以下二维码,识别之后进一步了解
> 开源项目ChromeForensics
-- "AnimeshShaw"在Github上给出了一个开源项目"ChromeForensics",该项目给出了一种对 Chrome 浏览器执行自动取证分析的工具,六年前的代码,但是思路还是值得了解一下的。可以长按以下二维码,识别之后进一步了解
> 其他可供阅读的部分文献
-- 王灏汉.Web浏览器客户端取证技术的探索与应用[J].网络安全技术与应用,2020(10):168-172
-- 徐楠楠,赵辽英.谷歌浏览器隐私模式下的网址信息获取方法[J].杭州电子科技大学学报(自然科学版),2018,38(04):47-51+81
-- 徐伟.基于Web浏览器活动的犯罪分析和证据采集[J].现代电子技术,2018,41(08):96-99
-- 聂明辉.基于ESE数据库文件分析的IE浏览器取证技术研究[J].警察技术,2016(04):72-75
-- 王文奇,潘恒,郑秋生,关云云.基于网络的浏览器内容取证还原技术[J].计算机工程与设计,2015,36(12):3188-3193
-- 舒伟欣. 基于存储特征的火狐浏览器历史记录恢复技术研究[D].杭州电子科技大学,2015
-- 王传芳,周安民.基于Windows平台的浏览器痕迹提取技术研究[J].网络安全技术与应用,2015(03):92+94
-- 陶姿邑,毕善为.浏览器取证技术[J].计算机系统应用,2014,23(05):8-15.
-- 朱小龙,孙国梓.浏览器历史痕迹提取技术[J].信息网络安全,2013(01):19-21
-- 李骁,陈彬,刘江.多种浏览器保密检查与泄密取证工具研发探讨[J].保密科学技术,2011(12):11-14
-- 石淼磊,苏璞睿,冯登国.Web浏览器历史数据自动分类取证系统[J].计算机应用,2006(10):2427-2429
后记
本文参考了部分网络资源,在此,一并致谢!
关于浏览器取证,本文主要从用户操作(行为)痕迹的角度进行说明
那么,浏览器自身有无可能存在恶意行为呢?比如是否有可能记录了用户的行为并上传到自己的服务器?
在《个人信息保护法》即将实施的当下,该话题可能会受到大家的关注。但,这属于软件行为或软件功能的分析,我们将在后续的文章中进一步加以了解
历史回顾(链接):
来源:数字取证文摘
本文始发于微信公众号(电子物证):【浏览器取证】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论