一、前言
当前浏览器不仅是我们探索互联网的窗口,更是记录我们在线足迹的无声证人。每一次点击、每一个搜索,甚至每一段浏览器缓存中的信息,都可能成为关键的证据。在电子数据取证领域,浏览器取证就像是一场隐秘的侦探游戏,揭示了隐藏在数字世界中的秘密。通过深入分析浏览器数据,调查人员可以还原用户的在线行为,揭示他们访问过的网页、下载的文件、甚至潜在的网络犯罪活动。
然而,随着隐私保护技术的进步,尤其是隐私模式的普及,数据恢复变得更加复杂。隐私模式宣称不留痕迹,但实际上,是否真的无法恢复这些数据?下面就如何通过先进的取证技术分析浏览器的历史记录与缓存,发现隐私模式数据恢复办法,揭示隐藏在数据幕后真相。
二、浏览器历史记录与缓存分析
获取网络行为数据重要渠道之一,是通过分析浏览器历史记录和缓存数据。它们可以揭示了访问网站、下载文件以及其他在线行为。从这些方面下手分析:
2.1 历史记录分析
浏览器历史记录保存了用户访问过的网页的详细信息,包括访问时间、网页标题和URL。通过分析这些记录,可以了解用户的浏览习惯与兴趣爱好。分析方法如下:
提取历史记录数据库:大多数现代浏览器(如Chrome、Firefox、Edge)将历史记录存储在SQLite数据库中。使用工具(如sqlite3)可以提取并分析这些数据库中的数据。
比如分析chrome的历史记录,可以使用这个命令来获取浏览的url,标题,次数,上一次浏览信息等记录。
分析时间戳:历史记录中的时间戳可以帮助确定用户的活动时间,并与其他证据进行对比。
像Chrome的时间戳格式是自 1601-01-01 起的微秒数,可以使用 Python 脚本来转换为我们能读的数据。
结果为5803年11月27日。
2.2 缓存分析
浏览器缓存用于存储网页的静态资源(如图片、CSS、JavaScript文件),以加快加载速度。缓存分析可以揭示用户访问过的网页的内容,尤其是那些用户已删除历史记录的情况下。
分析方法如下:
提取缓存文件:浏览器缓存文件通常保存在特定的目录中。通过访问这些目录,可以提取和分析缓存文件。下面是两个常用浏览器的缓存位置:
Chrome:C:\Users\[用户名]\AppData\Local\Google\Chrome\User Data\Default\Cache
Edge:C:\Users\用户名\AppData\Local\Microsoft\Edge\User Data\Default\Cache
文件解析:使用工具(如ChromeCacheView、MozillaCacheView)解析缓存文件,以提取网页资源和相关信息。
ChromeCacheView - Cache viewer for Google Chrome Web browser (nirsoft.net)
ChromeCacheView 不需要任何安装过程或额外的 DLL 。只需将(ChromeCacheView.exe)复制到任意文件夹,然后运行即可。
运行后,主窗口将显示当前文件列表。可以从列表中选择缓存文件,然后将列表导出为文本/html/xml 文件(“保存选中项 ”选项),将 URL 列表复制到剪贴板,复制整个缓存文件表,然后粘贴到 Excel中即可。
三、Cookie分析
Cookie是网站存储在用户浏览器中的小数据文件,用于跟踪用户的会话和偏好设置。通过分析Cookie,可以获得有关用户登录状态、网站偏好和跟踪信息的证据。分析方法如下:
提取Cookie数据:Cookie数据可以从浏览器的存储目录中提取,并使用工具(如SQLite Browser)进行分析。像提取Chrome的Cookie可从C:\Users\<用户名>\AppData\Local\Google\Chrome\User Data\Default\Cookies获取
解码Cookie:一些Cookie可能经过加密或编码,需要解码以获取原始数据。
比如flask框架的cookie,是使用了key加密的,可用flask--unsign破解。成功拿到解密后的cookie,以及加密的key。
四、隐私模式下的数据恢复
隐私模式(如Chrome的无痕模式)旨在不保存用户的浏览历史记录、缓存和Cookie。然而,这并不意味着数据完全无法恢复。下面我将会讲述一些恢复的方法。
4.1 隐私模式的数据存储
虽然隐私模式下不会保存用户的历史记录和缓存,但某些数据仍可能被存储在临时文件或系统缓存中。分析方法如下:
临时文件分析:隐私模式下的临时文件可能包含部分浏览活动的信息。检查操作系统的临时文件目录可能发现有用的证据。下面是一些存放临时文件目录的位置:
C:\Users\<用户名>\AppData\Local\Temp
C:\Users\<用户名>\AppData\Local\Google\Chrome\User Data\Default\Cache
内存取证:在浏览器关闭之前,通过内存取证工具(如Volatility)或者一些专门的取证工具提取浏览器的内存快照,可能找到隐私模式下的缓存数据。Home of The Volatility Foundation | Volatility Memory Forensics - The Volatility Foundation - Promoting Accessible Memory Analysis Tools Within the Memory Forensics Community
Volatility2.6演示:
使用这条命令vol.py -f ~/medump_win7.mem –profile Win7SP1x64 iehistory,指定分析的镜像,镜像系统,以及使用的功能。成功拿到cookie,下载文件等信息。