记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【浏览器取证】

2021-09-17 03:12

关于LNK文件的思考

这里是复习 ^_^

针对上一期主机取证 - LNK文件和跳转文件,思考一下下面的两个问题:

> 如果一个LNK文件中没有嵌入的时间属性,那么其指向的目标文件在LNK文件创建后有没有被打开过?

> 如果LNK文件中有相应的嵌入时间,且与LNK文件的创建、访问、修改时间基本相同,则表示其指向的目标文件在LNK文件创建后有没有被打开过?

如果不太清楚该如何回答,可以回头复习一下上一期的相关内容

主机取证 - LNK文件和跳转文件

> 参考答案嘛,期待下一期我没有忘记 

> 顺便说一下,各期文章中提到的参考文献 ,如有需要的,请在后台留言,同时留下电子邮箱,然后,静等查收

浏览器取证——背景

很多企业有相关的网络安全及资源使用政策

> 如:禁止员工利用企业的网络资源查看色情网站、黑客网站、休闲娱乐站点或玩网络游戏等

个人的网络活动可以被用来证明或反驳相关的违法、违规或嫌疑行为

> 表明是否有网络资源的不恰当使用情况等

> 浏览器取证的相关技术较为成熟,现有的取证软件,基本上均可对主流浏览器的相关操作(浏览)行为进行取证分析

基本原理

网页浏览器(Web Browser)

> 通常也简称为浏览器,是一种在万维网(World Wide Web)中用于检索、展现及传输信息资源的软件客户端

> 会在计算机的硬盘中留下一些常见的痕迹,如:搜索、查看、下载的痕迹

> 常用的浏览器有:

-- 五大浏览器:IE(Edge)、Chrome、Firefox、Opera、Safari

-- 国内浏览器:QQ、百度、搜狗、猎豹、360、UC、遨游、百分 浏览器

-- 国内的浏览器,其内核有可能是IE或者Chrome

上网后,会有大量信息反映你的所作所为(以IE为例)

> Internet临时文件夹:里面会有一些图片、Flash等文件,可以了解曾经浏览过的网站

> 小甜饼Cookies:网站可以利用Cookies中包含的信息来判断用户在HTTP传输中的状态,比如会有一些自动登录选项的数据

> 访问网页的历史记录:默认情况下,IE会将最近三周的历史记录下来

> IE记住的表单内容:当访问网站时,一些网页会提示输入,如:搜索时会要求搜索内容、登录邮箱要填用户名/密码,这些会被IE自动记录

> 地址栏列表中的网址:在IE地址栏中输入要访问站点的部分字母时会自动打开列表,会有曾访问的相匹配的站点信息

> 另外,还有缓存(Cache)、收藏夹(Favorites)、下载的资源列表等相关内容

类似内容,可以反映用户的操作行为

其他浏览器也会有类似的存储机制,可分别进行检视

扩展知识:关于浏览器的内核

> 四大内核:Trident(也称IE内核)、Webkit、Blink、Gecko

-- IE浏览器内核:Trident内核,也是俗称的IE内核

-- Chrome浏览器内核:统称为Chromium内核或Chrome内核,以前是Webkit内核,现在是Blink内核

-- Firefox浏览器内核:Gecko内核,俗称Firefox内核

-- Safari浏览器内核:Webkit内核

-- Opera浏览器内核:最初是自己的Presto内核,后来是Webkit,现在是Blink内核

-- 360浏览器、猎豹浏览器内核:IE+Chrome双内核

-- 搜狗、遨游、QQ浏览器内核:Trident(兼容模式)+Webkit(高速模式)

-- 百度浏览器、世界之窗内核:IE内核

-- 2345浏览器内核:以前是IE内核,现在也是IE+Chrome双内核

-- 相关内容可以参看"kookic"的文章"五大主流浏览器及四大内核"。可以长按以下二维码,识别之后进一步了解

典型案例

上网痕迹调查

> 2004年马加爵残杀4名同学后出逃,随后公安部发出了A级通缉令

> 警方发现马加爵出逃前,曾将自己的电脑硬盘多次格式化,公安人员将他的电脑硬盘进行恢复取证

> 公安机关对马加爵曾经使用过的电脑进行了周密分析,发现马加爵在案发前后曾经大量浏览一些省、市的地理、人文情况

> 其中海南省是他网上浏览比较多的地区。他曾经关注过海南的旅游、出租屋、房地产以及交通等信息,其中对三亚地区尤为关心

> 分析后发现,马加爵作案前曾上网查阅了大量有关三亚的资料,依照此线索,最终在三亚市河西区将其逮捕

-- 相关内容可以参看以下两篇文章中的相关介绍。可以长按以下二维码,识别之后进一步了解

······《福布斯》中文版:厦大退休教授刘祥南 创业永远不会晚

······电子数据取证——还原网络犯罪过程,追踪网络犯罪分子 

部分网络资源

> 开源项目Infornito

-- "globecyber"在Github上给出了一个开源项目"Infornito",该项目给出了一个从 Chrome、Firefox、Safari 浏览器中提取相关信息的工具,两年前的代码。可以长按以下二维码,识别之后进一步了解

> 开源项目browser_forensics

-- "niftycode"在Github上给出了一个开源项目"browser_forensics",该项目给出了另一个可以获取Safari、Chrome、Firefox历史文件内容的工具,两年前的代码。可以长按以下二维码,识别之后进一步了解

> 开源项目IE-Recovery-Data-Parser

-- "kernel-sanders"在Github上给出了一个开源项目"IE-Recovery-Data-Parser",该项目给出了一个用于提取和解析 IE 会话恢复数据的取证小工具,十年前的代码,但是思路还是值得了解一下的。可以长按以下二维码,识别之后进一步了解

> 开源项目ChromeForensics

-- "AnimeshShaw"在Github上给出了一个开源项目"ChromeForensics",该项目给出了一种对 Chrome 浏览器执行自动取证分析的工具,六年前的代码,但是思路还是值得了解一下的。可以长按以下二维码,识别之后进一步了解

> 其他可供阅读的部分文献

-- 王灏汉.Web浏览器客户端取证技术的探索与应用[J].网络安全技术与应用,2020(10):168-172

-- 徐楠楠,赵辽英.谷歌浏览器隐私模式下的网址信息获取方法[J].杭州电子科技大学学报(自然科学版),2018,38(04):47-51+81

-- 徐伟.基于Web浏览器活动的犯罪分析和证据采集[J].现代电子技术,2018,41(08):96-99

-- 聂明辉.基于ESE数据库文件分析的IE浏览器取证技术研究[J].警察技术,2016(04):72-75

-- 王文奇,潘恒,郑秋生,关云云.基于网络的浏览器内容取证还原技术[J].计算机工程与设计,2015,36(12):3188-3193

-- 舒伟欣. 基于存储特征的火狐浏览器历史记录恢复技术研究[D].杭州电子科技大学,2015

-- 王传芳,周安民.基于Windows平台的浏览器痕迹提取技术研究[J].网络安全技术与应用,2015(03):92+94

-- 陶姿邑,毕善为.浏览器取证技术[J].计算机系统应用,2014,23(05):8-15.

-- 朱小龙,孙国梓.浏览器历史痕迹提取技术[J].信息网络安全,2013(01):19-21

-- 李骁,陈彬,刘江.多种浏览器保密检查与泄密取证工具研发探讨[J].保密科学技术,2011(12):11-14

-- 石淼磊,苏璞睿,冯登国.Web浏览器历史数据自动分类取证系统[J].计算机应用,2006(10):2427-2429

后记

本文参考了部分网络资源,在此,一并致谢!

关于浏览器取证,本文主要从用户操作(行为)痕迹的角度进行说明

那么,浏览器自身有无可能存在恶意行为呢?比如是否有可能记录了用户的行为并上传到自己的服务器?

在《个人信息保护法》即将实施的当下,该话题可能会受到大家的关注。但,这属于软件行为或软件功能的分析,我们将在后续的文章中进一步加以了解

历史回顾(链接):

    > 话题:基本概念

    > 话题:取证基础

    > 话题:法律规制

    > 话题:取证技术

    > 话题:原则流程

    > 话题:主机取证

    > 话题:行业资讯



来源:数字取证文摘

哈哈,端掉了一个色情网站!


知识来源: https://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651039956&idx=1&sn=d7a9d057982bdc659d4c90f68eedbfdd

阅读:142757 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“【浏览器取证】”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁