由於隱私問題,Flash cookie進來成為一個熱點安全話題。不過從另一個角度講,Flash cookie(即本地共享對像)卻是一個很好的法庭證據——因為凡是在個人隱私上有問題的東西,都在取證調查上都很有用。本文首先詳細介紹Flash cookie的有關基礎知識,然後闡述了它在取證分析中的應用,最後給出一個操作Flash cookie的小工具。 & O2 Y! x; u3 t
一、Flash cookie基礎知識
, m5 F4 K L3 j2 I7 T0 @3 o, P1 L |4 F2 N6 o
首先,介紹一些Flash cookie方面的基礎知識:
) ]- W5 C" R2 @* y0 @* _3 u, g+ f7 C' }
◆Flash在互聯網上已經非常普及,它不僅提供流式視頻,同時還提供富客戶端體驗。目前,許多流行的站點都依賴於Flash,因此,Flash插件在Internet用戶中的安裝率極高。
4 t2 Q+ l' _! k s7 s3 d: ]- J; a7 G5 V4 ~5 d9 L
◆Flash標準的本地共享對像本地共享對像允許在用戶電腦上的本地Flash實例中存儲數據。 4 a) ?+ n) V+ y; G" g
1 V: q9 K( F5 q$ E% a1 ?◆本地共享對象是作為一些單獨的文件來存儲的,它們的文件擴展名為.SOL。默認時,它們的尺寸為不超過100kB,並且不會過期——這一點與傳統的HTTP Cookie不同。
$ N7 O8 E1 A1 ~ K8 I3 `
* c; |( {) L' n+ v1 x' l$ _◆我已經在本地系統上的兩處位置發現了.SOL文件,分別是%user profile%\Application Data\Macromedia\Flash Player 和 %user profile%\Application Data\Macromedia\Flash Player\#SharedObjects\\,這裡的%user profile%表示用戶文件夾目錄,在XP 系統上一般為C:\Documents and Settings\\ 。對於Vista系統來說,可能還有留意%user profile%目錄下的Roaming文件夾。 - S0 w, t- I z! `6 a* ]/ v
2 q, W0 y+ n( s% p4 S◆本地共享對象並不是基於瀏覽器的,所以普通的用戶不容易刪除它們。如果要刪掉它們的話,首先要知道這些文件所在的具體位置。這使得本地共享對像能夠長時間的保留在本地系統上。
. c5 ~3 _6 D1 Y g1 \: _ ?
+ x/ T- h1 { V5 x二、取證分析$ @9 M8 Z# q# ]
& a3 x8 L; |* m2 l2 |
在進行計算機調查取證時,將本地共享對像描述為Flash cookie是比較恰當的,因為它們提供了類似於傳統的HTTP Cookie的各種信息。一般情況下,Flash cookie可以提供下列信息:
( ^, B. W' P* c' ^0 @: Q. }2 V' \
已訪問過的網站
* N1 Z* _1 }; j" F1 o2 e7 m' i) Z3 F* L5 R- i- B& J$ j
Flash要求按照域名的體系結構分層存儲本地共享對象。這樣做能夠強制每個域名只能在本地系統上最多存放100k數據。從我們的角度來說,這給調查取證工作打開了一扇迅速檢查已訪問站點的方便之門。6 Y% N. P% b% M
, W5 G$ y. p6 J# u: \+ g
4 B) z* T. ], w5 V$ i# H
圖1 顯示本地共享對像域的目錄清單
$ `2 Z+ q: R; E; J" k% q2 ]3 t8 m' M0 d% r* q6 D
要注意的是,基於Flash的廣告也能夠保存本地共享對象,這一點很重要,因為在一些情況下我們要考慮這些站點是不是用戶特意去訪問的。本地共享對象的來源是非常明顯的(參見圖2),但是更進一步地測試或者額外的證據可能必須要進行必要的推斷。
- ]6 z8 S9 b: i0 ]! D& \; |, P. W9 |' u1 P; c
- @! ~" K) N2 s) b0 k* q' `+ Z
圖2 來自一個Flash廣告的本地共享對像
: k, d/ A2 B) I" X' O, S" Q
$ W. }) D' K7 v; S s# B0 v4 }& w訪問站點時所登錄的本地用戶帳戶; A. X" |. @( ^- ~; W+ w* }+ C ?
' j, A* @0 p1 a2 p7 ]$ o2 I0 a
我們知道,.SOL文件位於%user profile%文件夾中,而它正好指出了保存該文件時用戶所登錄的帳戶。
. c. Q! T M$ }1 w; K0 `! _' X. n! C
訪問站點的起止時間% Q/ N& e5 k- P! @
8 q! o S5 O9 @
因為.SOL文件是單獨存放的,所以我們能夠利用文件系統的時間戳來確定該文件的建立和最後一次修改時間。在Windows XP 系統上,我們可以使用訪問時間來確定最近讀取該文件的時間。通過它,我們可以瞭解最近一次訪問該站點的時間,但是我們必須小心,因為我們尚不明瞭要求站點讀取該本地共享對象的標準。但是大部分情況下,每當訪問這些站點的時候,它們就會訪問它們存放在用戶端的本地共享對像;不過,如果由於某種原因站點沒有讀取該本地共享對象的話,訪問時間就不會改變。9 n( a! y; ^& n, Z; _' n: s) N
4 J1 t% K- ~. o8 dSOL文件的創建時間有可能告訴我們第一次訪問該站點的時間。再一次強調,我們無法保證該在第一次訪問該站點時必定創建該本地共享對象,所以斷定起來有些難度。最佳的說法應該是已知的最初訪問該站點的時間。在系統上的其他證據可能印證這確實是第一次訪問時間,或者表明還有更早的訪問時間。
! Y" w4 J) E5 N, ]$ A: q
# V2 ^6 p# g; T' |+ D- D% ^& D所以,放回頭去在看看圖 1,我們可以看到已知的訪問mg3.mail.yahoo.com的最早時間是11/27/2008上午1:38,已知的最後一次訪問時間為8/17/2009下午5:27,這裡的時間都是本地計算機時間。
" g; L* l" t( b" M4 W0 g/ w( b- T- O- b
網站存儲的數據5 ]: D, Y2 N( R6 k
|+ Q. n; A! l" ]Flash試圖通過控制格式並迫使所有的數據都存放成二進制序列來對本地共享對像數據進行混淆處理。也就是說,如果您發現了一個相關文件,那麼就不要忽視這個數據區域。我也發現有趣的明文消息,例如天氣網站存儲的基於文本的位置信息。
* N0 E, w7 ?* B1 V: x/ `5 D! K W& t9 S( g; j
三、Flash cookie工具
7 j$ w& z3 B( M7 c) u I# ?$ c: r. H4 O# X7 e7 F
雖然不推薦作為取證工具使用,因為它要求在一個工作的系統上安裝運行,但是Better Privacy Firefox擴展用於在本地系統上發現和清除本地共享對像還是非常不錯的。了解法庭證據來最好手段之一是在一個已經知道其行為的系統上做檢查,例如在自己的系統上。插件Better Privacy允許您輕鬆地查看和管理在一個運行中的系統中的本地共享對象。$ A+ K4 C" x @0 x8 U, r* I# l
/ P" \2 u+ {! v- c
9 N. ]# H; V* J- _' R6 ^2 ~+ a圖3 Better Privacy插件的截屏
^* D$ e' U3 K5 h- D% O4 f% w
' H& Y, e6 |( ~9 z四、小結/ i- F. n/ M6 S! w
+ b6 ]4 u5 _7 I2 `- d9 d
由於隱私問題,Flash cookie進來成為一個熱點安全話題。不過從另一個角度講,Flash cookie(即本地共享對像)卻是一個很好的法庭證據——因為凡是在個人隱私上有問題的東西,都在取證調查上都很有用。本文首先詳細介紹了Flash cookie的有關基礎知識,然後闡述了它在取證分析中的應用,最後給出了一個操作Flash cookie的小工具。- ^2 V- H6 M6 h5 X, h; R& M# ~5 z ?
2 J+ Q" h, t4 ]: x+ [' @9 F
8 f% p2 t% L9 Q3 Q+ w
本篇文章來源於 黑客基地-全球最大的中文黑客站 原文鏈接:http://www.hackbase.com/tech/2009-10-17/57060.html |
發表於 2010-4-18 20:22:23
提升卡
沉默卡
变色卡
路過 嘿嘿