《网络安全知识体系》

网络安全取证（十三）

应用取证

4 应用取证

应用取证是为特定应用程序建立以数据为中心的操作理论的过程。分析的目标是客观地建立数据输入和输出之间的因果依赖关系，作为用户与应用程序交互的函数。根据应用程序是开放源还是封闭源以及随附文档的级别，所需的分析工作可能会有所不同，从阅读详细规范到反向工程代码、数据结构和通信协议，再到执行耗时的黑盒差分分析实验。或者，取证工具供应商可以许可应用程序供应商的代码，以获得对专有数据结构的访问。

分析应用程序的最大优势在于，我们有更好的机会观察和记录用户行为的直接证据，这对法律程序至关重要。此外，相关法医痕迹的抽象级别往往具有与特定领域相对应的抽象级别。

4.1   案例研究：Web浏览器

尽管至少有四种主要的网络浏览器在使用，但经过20多年的发展，它们的功能已经融合，因此我们可以用共同的术语来讨论它们。有六个主要的取证信息来源：

URL/搜索历史记录。目前，维护完整的浏览历史（访问过的网站的日志）没有实际障碍，向用户提供是一个主要的可用性特征；大多数用户很少删除此信息。另外，谷歌和Facebook等服务提供商出于商业原因对这些信息感兴趣，并使其易于与多台设备共享浏览日志。结合本地文件缓存的内容，浏览历史记录使调查人员几乎可以在感兴趣的用户浏览Web时查看他们的肩膀。特别是，分析搜索引擎的用户查询是最常用的技术之一。搜索查询被编码为URL的一部分，并且通常可以提供关于用户试图完成什么的非常明确和有针对性的线索。

表单数据。浏览器可以方便地记住自动完成的密码和其他表单数据（如地址信息）。这对调查员非常有帮助，尤其是当用户缺乏安全意识并且没有使用主密码来加密所有这些信息时。

临时文件。本地文件缓存提供其自己的web活动年表，包括下载并显示给用户的实际web对象的存储版本（这些可能不再在线可用）。尽管由于动态内容的使用增加，缓存的效率大大降低，但由于可用存储容量的大幅增加，缓存对缓存的数据量几乎没有实际限制（如果有的话），这一点受到了限制。

下载的文件默认情况下，从不删除，提供了另一个有价值的活动信息源。

曲奇饼是服务器用来在web客户端上保存各种信息的不透明数据，以支持诸如web邮件会话之类的事务。在实践中，大多数cookie都被网站用来跟踪用户行为，并且有充分的证据表明，一些提供商会竭尽全力确保这些信息具有弹性。一些cookie是有时间限制的访问令牌，可以提供对在线帐户的访问（直到过期）；其他的具有可解析的结构并且可以提供附加信息。

大多数本地信息存储在SQLite数据库中，这些数据库为数据恢复提供了辅助目标。特别是，表面上被删除的记录可能会一直存在，直到数据库被明确地“清空”；否则，它们在以后的时间仍可以恢复。

原文始发于微信公众号（河南等级保护测评）：网络安全取证（十五）应用取证