由於隱私問題,Flash cookie進來成為一個熱點安全話題。不過從另一個角度講,Flash cookie(即本地共用對象)卻是一個很好的法庭證據——因為凡是在個人隱私上有問題的東西,都在取證調查上都很有用。本文首先詳細介紹Flash cookie的有關基礎知識,然後闡述了它在取證分析中的應用,最後給出一個操作Flash cookie的小工具。
一、Flash cookie基礎知識
首先,介紹一些Flash cookie方面的基礎知識:
◆Flash在互連網上已經非常普及,它不僅提供流式視頻,同時還提供富用戶端體驗。目前,許多流行的網站都依賴於Flash,因此,Flash外掛程式在Internet使用者中的安裝率極高。
◆Flash標準的本地共用對象本地共用對象允許在使用者電腦上的本地Flash執行個體中儲存資料。
◆本地共用對象是作為一些單獨的檔案來儲存的,它們的副檔名為.SOL。預設時,它們的尺寸為不超過100kB,並且不會到期——這一點與傳統的HTTP Cookie不同。
◆我已經在本地系統上的兩處位置發現了.SOL檔案,分別是%user profile%Application DataMacromediaFlash Player 和 %user profile%Application DataMacromediaFlash Player#SharedObjects\,這裡的%user profile%表示使用者檔案夾目錄,在XP 系統上一般為C:Documents and Settings\ 。對於Vista系統來說,可能還有留意%user profile%目錄下的Roaming檔案夾。
◆本地共用對象並不是基於瀏覽器的,所以普通的使用者不容易刪除它們。如果要刪掉它們的話,首先要知道這些檔案所在的具體位置。這使得本地共用對象能夠長時間的保留在本地系統上。
二、取證分析
在進行電腦調查取證時,將本地共用對象描述為Flash cookie是比較恰當的,因為它們提供了類似於傳統的HTTP Cookie的各種資訊。一般情況下,Flash cookie可以提供下列資訊:
已訪問過的網站
Flash要求按照網域名稱的體繫結構階層式存放區本地共用對象。這樣做能夠強制每個網域名稱只能在本地系統上最多存放100k資料。從我們的角度來說,這給調查取證工作開啟了一扇迅速檢查已訪問網站的方便之門。
圖1 顯示本地共用對象域的目錄清單
要注意的是,基於Flash的廣告也能夠儲存本地共用對象,這一點很重要,因為在一些情況下我們要考慮這些網站是不是使用者特意去訪問的。本地共用對象的來源是非常明顯的(參見圖2),但是更進一步地測試或者額外的證據可能必須要進行必要的推斷。
圖2 來自一個Flash廣告的本地共用對象
訪問網站時所登入的本機使用者帳戶
我們知道,.SOL檔案位於%user profile%檔案夾中,而它正好指出了儲存該檔案時使用者所登入的帳戶。
訪問網站的起止時間
因為.SOL檔案是單獨存放的,所以我們能夠利用檔案系統的時間戳記來確定該檔案的建立和最後一次修改時間。在Windows XP 系統上,我們可以使用訪問時間來確定最近讀取該檔案的時間。通過它,我們可以瞭解最近一次訪問該網站的時間,但是我們必須小心,因為我們尚不明了要求網站讀取該本地共用對象的標準。但是大部分情況下,每當訪問這些網站的時候,它們就會訪問它們存放在使用者端的本地共用對象;不過,如果由於某種原因網站沒有讀取該本地共用對象的話,訪問時間就不會改變。
SOL檔案的建立時間有可能告訴我們第一次訪問該網站的時間。再一次強調,我們無法保證該在第一次訪問該網站時必定建立該本地共用對象,所以斷定起來有些難度。最佳的說法應該是已知的最初訪問該網站的時間。在系統上的其他證據可能印證這確實是第一次訪問時間,或者表明還有更早的訪問時間。
所以,放回頭去在看看圖 1,我們可以看到已知的訪問mg3.mail.yahoo.com的最早時間是11/27/2008上午1:38,已知的最後一次訪問時間為8/17/2009下午5:27,這裡的時間都是本機電腦時間。
網站儲存的資料
Flash試圖通過控制格式並迫使所有的資料都存放成二進位序列來對本地共用對象資料進行混淆處理。也就是說,如果您發現了一個相關檔案,那麼就不要忽視這個資料區域。我也發現有趣的明文訊息,例如天氣網站儲存的基於文本的位置資訊。
三、Flash cookie工具
雖然不推薦作為取證工具使用,因為它要求在一個工作的系統上安裝運行,但是Better Privacy Firefox擴充用於在本地系統上發現和清除本地共用對象還是非常不錯的。瞭解法庭證據來最好手段之一是在一個已經知道其行為的系統上做檢查,例如在自己的系統上。外掛程式Better Privacy允許您輕鬆地查看和管理在一個運行中的系統中的本地共用對象。
圖3 Better Privacy外掛程式的截屏
四、小結
由於隱私問題,Flash cookie進來成為一個熱點安全話題。不過從另一個角度講,Flash cookie(即本地共用對象)卻是一個很好的法庭證據——因為凡是在個人隱私上有問題的東西,都在取證調查上都很有用。本文首先詳細介紹了Flash cookie的有關基礎知識,然後闡述了它在取證分析中的應用,最後給出了一個操作Flash cookie的小工具。