概述
早在2019年,微软就用Chromium替换了EdgeHTML浏览器引擎,这是微软支持谷歌Chrome浏览器的一个开源项目。通过切换到Chromium,Edge与Chrome浏览器共享一个共同的架构,这意味着用于Chrome浏览器调查的取证技术也适用于Edge。
微软不仅在使用Chromium,而且还在积极推动Chromium的开发。这意味着,只要微软继续向Chromium项目提交修改,而不是针对Edge进行修改,那么为Chrome浏览器开发的取证工具就能在Edge上无缝运行。
就连Edge和Chrome浏览器也几乎完全相同。微软推出了一些独特的功能。其中最吸引人的是IE模式,它允许用户使用传统的Internet Explorer引擎打开标签页。该功能主要针对仍然依赖旧版网络应用程序的企业。
Edge保持与Chrome浏览器相同的文件夹结构。使现有的Chrome浏览器取证方法能够轻松应用于Edge浏览器,而无需进行重大更改。
%UserProfile%\AppData\Local\Microsoft\Edge\User Dataedge和Chrome痕迹的相似性
分析Edge浏览器中的下载数据
Edge可记录下载文件的大量元数据。
记录存储在历史数据库中,特别是downloads 和 download_url_chains表中。这些表中的关键字段包括:
- current_path/target_path :文件保存的位置。
- start_time/end_time:Webkit 格式的时间戳。
- state :下载是否成功。
- danger_type:文件是否被标记为危险文件。
- interrupt_reason :下载失败的原因(如被标记为恶意软件)。
浏览器崩溃
- opened -:文件是否通过浏览器的下载管理器打开。
- last_access_time :文件最后一次通过浏览器打开的时间。
- tab_url & tab_referrer_url : 启动下载的页面。
- site_url :下载的源域名。
- mime_type : 下载的文件类型。
下载链和重定向
download_url_chains 表有助于重建文件被下载的 URL 序列。
当网站采用多重重定向来掩盖文件的真实来源时,这种方法就非常有用,这是网络钓鱼和恶意软件传播中的一种常见策略。
浏览器扩展插件:无声的威胁
基于 Chromium 的浏览器也包括 Edge 在内,普遍支持大量扩展插件。虽然这非常有利于自定义,但同时也为安全风险打开了大门。恶意扩展插件是一个日益严重的威胁,通常用于窃取数据或安装恶意软件。
每个已安装的扩展插件都存储在 Edge 用户数据目录下一个唯一命名的文件夹中(基于应用程序 GUID)
其中,manifest.json 文件包含了关键的细节信息,例如
- name : 扩展插件的正式名称。
- description : 目的简述。
- version : 已安装的版本。
- URL & metadata : 用于识别扩展插件的附加信息。
虽然大多数取证工具都能提取这些数据,但手动查看 manifest.json 有时也会发现隐藏或误导性的细节。
(Hindsight等工具可以自动解析manifest.json文件,并以易于阅读的格式显示已安装的扩展插件。)
浏览器书签
在取证工具中,书签并不总是占据很重要的位置,但它们却蕴含着针对用户行为的宝贵线索。这些由用户有意创建的简单快捷方式可以揭示经常访问的网站、保存的研究内容,甚至是恶意活动的痕迹。
为什么书签在数字取证中很重要
书签可作为个性化的导航辅助工具,提供关键的详细信息,如
- Website of interest : 感兴趣的网站,准确的 URL,包括其中嵌入的任何参数。
- User profile association : 标明创建书签的用户。
- Timestamps : 有关书签创建时间或最后访问时间的信息。
谷歌Chrome浏览器和微软 Edge 浏览器
Chrome 浏览器和 Edge(基于 Chromium)会将书签存储在一个名为 “Bookmarks”(不含扩展名)的 .JSON 文件中,以便于解析。此外,备份版本(Bookmarks.bak 或 Edge 中的 Bookmarks.msbak)可保留以前的状态。
导出书签
- date_added::使用 Webkit 时间戳的格式。
- source:表示书签的创建方式(如用户添加或导入)。
- url:保存的网址。
取证注意事项
- 查找备份文件(Bookmarks.bak 或 Bookmarks.msbak)以检索已删除的书签。
- 分析快照文件夹中存储的书签存档版本。
%UserProfile%\AppData\Local\Google\Chrome\User Data\Snapshots
%UserProfile%\AppData\Local\Microsoft\Edge\User Data\Snapshots- 如果用户已清除书签,备份版本可能仍保留过去的证据。
其他浏览器书签
检测恶意书签
书签有时会被恶意软件操纵,在用户不知情的情况下注入恶意网站。取证调查员应查找:
- 短时间内异常频繁的书签创建行为(表明书签被自动化注入或基于脚本注入)。
- 指向钓鱼网页或已知恶意软件托管域的书签。
- 用户活动与书签之间的不匹配(例如,用户主要访问技术论坛,但却有多个金融诈骗书签)。
如何验证可疑书签
- 交叉检查浏览器历史记录 - 是否真正访问过该网站?
- 扫描系统中的恶意软件 - 寻找持续机制。
- 查看杀毒软件日志 - 是否检测到与浏览器活动有关的内容?
一些思考
取证分析不仅仅是查看历史记录,而是要通过所有可用的工具来了解用户行为。在这方面,书签提供了相当丰富的证据来源。
作者:Dean 翻译:Doris 转载请注明
