1. 基本认知:

1、网页浏览活动经常需要调查的内容主要有:上网访问历史记录(访问过的站点地址列表、次数、最后访问时间等)、缓存(Cache)、cookies、收藏夹(Favorites)。

2、不同的IE浏览器版本存在一些细微的差异,IE浏览器从版本IE5~IE9采用了相同的工作机制及数据存储方式,IE10以上版本则采用了全新的存储机制。

二、操作练习

1、上网访问历史记录

1.1、IE浏览器会将所有访问过的站点各个页面的URL地址记录到用户配置文件夹下History文件夹中,以浏览时间为序列列出最近浏览过的浏览点,所有的URL地址链接和各种访问的详细信息都存储在名为Index.dat的索引文件中。

1.2、通常情况下,对历史记录的取证应通过静态离线取证的方式进行,这样看到的文件目录结构往往与操作系统正在运行的情况下看到的有所差异。Windows操作系统正在运行的情况下,对数据的读取访问做了特殊处理,因此看到的信息都是经过处理后的内容。在本实验环境中,History文件夹位置为“C:\Users\Administrator\AppData\Local\Microsoft\Windows\History”(History文件夹是不可见的,需要自行输入路径)。如图所示

浏览器检查(浏览器取证)(1)

2、缓存(Cache)

2.1 IE浏览器为提升打开网页的速度,默认会将最近浏览过的内容保存到本地缓存中,当用户下一次打开同一个网站时,就不需要全部重新从远程的网站服务器上下载文件,而是直接从本地缓存中读取,当然IE浏览器也有相应的机制,可以设置是否更新过时的内容,打开“IE浏览器”->“工具”->“Internet选项”,点击“浏览历史记录”中的“设置”按钮打开“Internet 临时文件和历史记录设置”对话框。如图所示

浏览器检查(浏览器取证)(2)

2.2 IE浏览器的缓存数据通常存储在用户配置文件夹下,本例中位置为“C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files”。如图所示

浏览器检查(浏览器取证)(3)

3、Cookies

3.1 Cookies通常存储在用户配置文件夹下的Cookies文件夹,该文件夹下保存了一个索引文件Index.dat和大量的Cookies文本文件。Index.dat记录了用户访问的所有站点地址信息,Cookies文本文件则单独记录了各个站点的相关信息。如果同一个网站的多个页面启用了Cookies来存储相关数据,那么用户在访问后 ,就会有多个Cookies文件,通常在Windows系统下Cookies文件的命名规则是:用户名@站点相关的名称[序号].txt。本例中,打开“C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies”查看Cookies。如图所示

浏览器检查(浏览器取证)(4)

4、收藏夹

4.1 浏览器的收藏夹通常保存了用户感兴趣的网站URL链接,这些链接在一定程度上可以体现用户的倾向性和意图。通常收藏夹默认存储于用户配置文件夹下的Favorites文件夹,本例中位置为“C:\Users\Administrator\Favorites”。如图所示

浏览器检查(浏览器取证)(5)

5、思考:新一代IE浏览器的取证方式?

三、火狐浏览器

1、基本认知:Firefox浏览器的数据存储采用的是SQLite数据库,因此可用SQLite数据库查看工具打开该文件进行SQL语句查询查看数据库中的数据。

2、places.sqlite

2.1 本例中,火狐浏览器的数据库文件存储位置为“C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wzuidpc9.default”,这里需要显示出隐藏文件:点击“组织”->“文件夹和搜索选项”->“查看”->“显示隐藏文件、文件夹和驱动器”->“确定”即可。如图所示

浏览器检查(浏览器取证)(6)

2.2 上网历史记录、书签及下载文件列表数据库名为“places.sqlite”。打开SQLiteStudio软件(软件在桌面取证文件夹下,打开软件选择简体中文),点击菜单栏中的“数据库”按钮,选择“添加数据库”选项。如图所示

浏览器检查(浏览器取证)(7)

2.3 在弹出的“数据库”对话框中,选择“文件”选择框的“ ”号按钮。如图所示

浏览器检查(浏览器取证)(8)

2.4 在数据库文件存储文件夹中选择C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wzuidpc9.default下的“places.sqlite”并点击“确定”。如图所示

浏览器检查(浏览器取证)(9)

2.5 点击“OK”按钮完成添加数据库操作,选择数据库列表中的“places”数据库并点击“连接数据库”按钮。如图所示

浏览器检查(浏览器取证)(10)

2.6 选择“moz_places”表,右键单击,在快捷菜单中选择“Generate query for table”->“SELECT”。如图所示

浏览器检查(浏览器取证)(11)

2.7 点击蓝色三角按钮进行查询得到结果,该表中保存了上网历史记录。如图所示

浏览器检查(浏览器取证)(12)

2.8 以同样的方式查询书签数据存放的表“moz_bookmarks”。如图所示

浏览器检查(浏览器取证)(13)

2.9 下载文件列表“moz_annos”。如图所示

浏览器检查(浏览器取证)(14)

1.9 下载文件列表“moz_annos”。如图所示

浏览器检查(浏览器取证)(15)

3、cookies.sqlite

3.1 添加数据库文件“cookies.sqlite”,连接数据库并查看“moz_cookies”表内容。如图所示

浏览器检查(浏览器取证)(16)

4、缓存文件

4.1 打开火狐浏览器,在地址栏中输入“about:cache”查看缓存文件存储位置。如图所示

浏览器检查(浏览器取证)(17)

4.2 点击链接“List Cache Entries”查看缓存。如图所示

浏览器检查(浏览器取证)(18)

5、思考:Chrome浏览器如何进行取证?

,