徐偉

摘 要： 隨著互聯(lián)網(wǎng)用戶日益增長(zhǎng)，與互聯(lián)網(wǎng)相關(guān)的犯罪也在逐步增加。越來越多的刑事和民事案件可能基于從用戶互聯(lián)網(wǎng)活動(dòng)收集證據(jù)，因此Web瀏覽器取證成為了計(jì)算機(jī)取證的主要部分。犯罪分子使用網(wǎng)絡(luò)瀏覽器收集或查詢新的犯罪手段信息，以掩蓋其犯罪行為。但每當(dāng)使用網(wǎng)絡(luò)瀏覽器時(shí)，犯罪分子均會(huì)留下痕跡，瀏覽器歷史記錄、臨時(shí)文件、index.dat、Cookies、下載文件、未分配的空間和緩存等，均成為了證據(jù)存在的可能線索。文中系統(tǒng)研究了用于Web瀏覽器分析的主要工具，并通過對(duì)比這些工具的性能，分析各自優(yōu)點(diǎn)與局限性，提出一種犯罪數(shù)據(jù)收集算法，為提高證據(jù)采集效率提供了參考。

關(guān)鍵詞： 數(shù)字犯罪； 瀏覽器取證； 證據(jù)采集； 隱私瀏覽； 犯罪手段； 犯罪數(shù)據(jù)收集算法

中圖分類號(hào)： TN915.12?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2018）08?0096?04

Abstract： As the number of Internet users grows， Internet related crimes also increase. More and more criminal and civil cases may be based on evidence collected from users′ Internet activities， so Web browser forensics has become a major part of computer forensics. Criminals use web browsers to collect or search information about new criminal means to cover up their criminal behavior. Every time a web browser is used， the offender leaves trails such as browser history， temporary files， index.dat， Cookies， download files， unallocated spaces， and caches which can all become possible clues to the existence of evidence. Therefore， in this paper the main tools used for Web browser analysis are systematically studied and the advantages and limitations of these tools are analyzed by means of comparing the performance of these tools， so as to propose a criminal data acquisition algorithm， which can provide a reference for improving the efficiency of evidence collection.

Keywords： digital crime； browser forensics； evidence acquisition； privacy browsing； criminal means； criminal data acquisition algorithm

0 引 言

嫌犯可以使用網(wǎng)絡(luò)瀏覽器來檢索信息，用以隱藏其犯罪活動(dòng)、探索新的犯罪技巧。當(dāng)嫌疑人使用Web瀏覽器時(shí)，其所有活動(dòng)均會(huì)在電腦上留下痕跡，這種證明可以在檢查嫌犯信息時(shí)，向調(diào)查軟件提供有用的信息。在從嫌犯的計(jì)算機(jī)中恢復(fù)諸如緩存、歷史記錄、Cookie和下載列表之類的數(shù)據(jù)后，可研究訪問的網(wǎng)站、時(shí)間和頻率以及嫌疑人使用的搜索引擎關(guān)鍵詞證明。本文研究用于Web瀏覽器分析的主要工具，并通過對(duì)比這些工具的性能，分析各自優(yōu)點(diǎn)與局限性，提出一種犯罪數(shù)據(jù)收集算法，為提高證據(jù)采集效率提供了參考。

1 證據(jù)分析

綜合分析：對(duì)于該分析而言，相比于其他所有信息最為關(guān)鍵的是時(shí)間信息。每個(gè)Web瀏覽器的日志文件均包含時(shí)間信息。因此，可以使用此時(shí)間信息構(gòu)建時(shí)間軸數(shù)組。

目標(biāo)分析：調(diào)查軟件通過進(jìn)行時(shí)間表分析，可以全面追查犯罪嫌疑人的犯罪行為。

搜索歷史分析：一個(gè)單詞或句子，搜索詞可能會(huì)為犯罪提供關(guān)鍵字。

URL編碼分析：解碼編碼字符與非英語國(guó)家的調(diào)查軟件相關(guān)。

用戶活動(dòng)分析：調(diào)查軟件必須訪問每個(gè)相應(yīng)的網(wǎng)站以猜測(cè)用戶活動(dòng)。

恢復(fù)刪除的信息：Web瀏覽器可以從臨時(shí)Internet文件、會(huì)話日志文件、Cookie以及緩存文件中恢復(fù)已刪除的信息。

2 網(wǎng)絡(luò)瀏覽器取證工具

2.1 Web Historian 1.3

Web Historian 1.3[1?4]是一個(gè)允許調(diào)查收集、顯示和分析網(wǎng)絡(luò)歷史數(shù)據(jù)的工具，其支持Windows操作系統(tǒng)和大多數(shù)瀏覽器。圖1～圖3分別為網(wǎng)絡(luò)歷史、Cookie歷史和網(wǎng)站分析儀。

2.2 index.dat分析儀

Internet Explorer在計(jì)算機(jī)系統(tǒng)每個(gè)用戶的主目錄中保存名為“index.dat”的大量文件，其提供所有在線活動(dòng)的痕跡、訪問的網(wǎng)站、URL列表以及最近訪問的文件與文檔。index.dat Analyzer在Windows 操作系統(tǒng)上工作，并從IE檢索index.dat文件[5]。index.dat Analyzer自動(dòng)掃描計(jì)算機(jī)的所有index.dat項(xiàng)目，調(diào)查人員可選擇所需的項(xiàng)目。index.dat Analyzer在Windows 操作系統(tǒng)上工作，并從IE中檢索index.dat文件。圖4和圖5分別顯示了Cookie，歷史和臨時(shí)互聯(lián)網(wǎng)文件中的index.dat文件。

2.3 Chrome Analysis Plus

Chrome Analysis Plus[6]是一款用于從Google Chrome瀏覽器獲取、查看和學(xué)習(xí)互聯(lián)網(wǎng)歷史記錄的工具軟件。其提取有關(guān)書簽、Cookies、下載、Favicons、登錄、訪問量最多的網(wǎng)站，搜索詞和網(wǎng)站訪問歷史。圖6和圖7分別顯示了網(wǎng)絡(luò)歷史記錄、搜索項(xiàng)時(shí)間表和登錄信息等。

2.4 NetAnalysis v1.52

NetAnalysis v1.52[7?9]是網(wǎng)絡(luò)瀏覽器取證工具，其支持大部分主流瀏覽器，主要用于分析歷史信息。圖8和圖9顯示了不同的選項(xiàng)卡和SQL查詢構(gòu)建器。

3 主動(dòng)網(wǎng)絡(luò)犯罪數(shù)據(jù)分析算法

與傳統(tǒng)刑偵方法不同，主動(dòng)犯罪偵查方案實(shí)時(shí)積累了具有證據(jù)價(jià)值的數(shù)據(jù)。因此，調(diào)查員不必只拘束于從歷史文件中收集數(shù)據(jù)，還可主動(dòng)地收集數(shù)據(jù)并將其存儲(chǔ)在受保護(hù)的存儲(chǔ)區(qū)域，避免被篡改。在本節(jié)中，基于上述偵查工具，提出一種簡(jiǎn)單而輕量的主動(dòng)取證解決方案來捕獲并記錄用戶的HTTP請(qǐng)求，本算法在系統(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)。所提出的解決方案流程圖如圖10所示。

由圖10可知，其通過捕獲任何出站IP數(shù)據(jù)包監(jiān)視客戶端網(wǎng)絡(luò)活動(dòng)。從遠(yuǎn)程服務(wù)器獲取GMT時(shí)間，以對(duì)比驗(yàn)證當(dāng)前系統(tǒng)的日期和時(shí)間。程序?qū)CP與UDP數(shù)據(jù)包進(jìn)行區(qū)分，對(duì)于數(shù)據(jù)字段大于0的TCP數(shù)據(jù)包，將用戶請(qǐng)求的URL記錄在本地日志文件中，并將活動(dòng)發(fā)送到本地日志服務(wù)器。

客戶端發(fā)送一個(gè)HTTP請(qǐng)求，用于訪問某些資源，這些資源可以是駐留在遠(yuǎn)程服務(wù)器上的文件或網(wǎng)頁。該端口正在監(jiān)聽80端口，典型的網(wǎng)絡(luò)數(shù)據(jù)包攜帶請(qǐng)求如圖11所示。

HTTP頭作為TCP數(shù)據(jù)包中的有效載荷發(fā)送，其包含可用于數(shù)字證據(jù)的信息，函數(shù)分析 “HTTP請(qǐng)求包頭”中攜帶的信息。從客戶端到服務(wù)器的請(qǐng)求消息包括：應(yīng)用于資源的方法，例如獲取從請(qǐng)求的URL中檢索信息的方法；資源的標(biāo)識(shí)符；正在使用的協(xié)議版本。典型請(qǐng)求標(biāo)頭如圖12所示。

請(qǐng)求行以方法令牌開始，而方法令牌表示在URL中標(biāo)識(shí)的資源上執(zhí)行的方法。版本HTTP/1.1允許類型的方法是PUT，GET，POST，DELETE，TRACE和CONNECT。 GET是用于文檔檢索的主要方法，客戶端在請(qǐng)求中使用GET方法后，服務(wù)器將響應(yīng)客戶端請(qǐng)求的狀態(tài)行、頭文件和數(shù)據(jù)。

4 結(jié) 語

犯罪證據(jù)可以從網(wǎng)絡(luò)瀏覽器的緩存、歷史、Cookie、下載列表中收集。隱私瀏覽是所有主流瀏覽器中的功能，用于禁用瀏覽歷史記錄和Web緩存，由此便可讓犯罪者瀏覽網(wǎng)頁而不存儲(chǔ)本地?cái)?shù)據(jù)。但隱私瀏覽記錄在數(shù)據(jù)庫文件Web CacheV01.dat中，相關(guān)日志文件可以在其他磁盤上找到，并可通過工具來恢復(fù)，例如ESECarve。WEFA工具對(duì)其他工具的弱點(diǎn)進(jìn)行了補(bǔ)充，且具有對(duì)Web瀏覽器進(jìn)行高效分析的優(yōu)勢(shì)。本文提到的所有工具均只能在Windows環(huán)境中運(yùn)行，未來的研究可以拓展為各種操作系統(tǒng)中的Web瀏覽器取證。

參考文獻(xiàn)

[1] GEDDES M， ZADEH P B. Forensic analysis of private browsing [C]// Proceedings of International Conference on Cyber Security and Protection of Digital Services. [S.l.： s.n.]， 2016： 1?2.

[2] JANG Y， JIN K. Digital forensics investigation methodology applicable for social network services [J]. Multimedia tools and applications， 2015， 74（14）： 5029?5040.

[3] RAJ R， MALHOTRA D K. Forensic investigation for Web forgery through Java script obfuscation [J]. International journal of computer security &； source code analysis， 2015， 1（1）： 5?8.

[4] 顏菲.折疊式內(nèi)容可關(guān)聯(lián)的瀏覽器設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù)，2016，39（10）：69?72.

YAN Fei. Design and implementation of folding content?associated browser [J]. Modern electronics technique， 2016， 39（10）： 69?72.

[5] Joseph N， SUNNY S， DIJA S， et al. Volatile Internet evidence extraction from Windows systems [C]// Proceedings of IEEE International Conference on Computational Intelligence and Computing Research. Coimbatore： IEEE， 2015： 1?5.

[6] AKBAL E， G?NES F， AKBAL A. Digital forensic analyses of Web browser records [J]. Journal of software， 2016， 11（7）： 631?637.

[7] MARTINI B， CHOO K K R. Cloud forensic technical challenges and solutions： a snapshot [J]. IEEE cloud computing， 2015， 1（4）： 20?25.

[8] FLOWERS C， MANSOUR A， AL?KHATEEB H M. Web browser artefacts in private and portable modes： a forensic investigation [J]. International Journal of electronic security and digital forensics， 2016， 8（2）： 99?117.

[9] 牛連強(qiáng)，宋強(qiáng)，張勝男.基于Java3D的X?VRML虛擬場(chǎng)景解析器模型[J].沈陽工業(yè)大學(xué)學(xué)報(bào)，2009，31（4）：445?449.

NIU Lianqiang， SONG Qiang， ZHANG Shengnan. Model of X?VRML virtual scene parser based on Java3D [J]. Journal of Shenyang University of Technology， 2009， 31（4）： 445?449.