基于ESE文件分析的IE浏览器取证技术研究

电子取证72 2016年第4期1.前言目前，Web取证是计算机电子取证研究的重要方向，Web取证中的客户取证是其研究的重点. 就与浏览器取证相关的技术而言，目前的研究主要集中在特定类型浏览器的分析和日志文件结构的研究上. 典型的浏览器类型是IE，Firefox，Google等. 其中，IE使用ESE，而Firefox和Google使用Sqlite. 在中国，绝大多数客户用户已习惯于使用IE浏览器，因此本文将重点介绍IE浏览器取证的分析和研究. 2. IE浏览器概述IE浏览器是由美国微软公司推出的Web浏览器. 它于1995年首次诞生，并经历了多个版本. 最新版本是IE11. 在所有版本中，最经典的版本是IE6，最常见的版本是IE8和IE10. 与所有其他类型的浏览器一样，IE浏览器的主要组件也包括以下七个部分: 1.用户界面. 包括地址栏，后退/前进按钮，书签目录等，也就是说，客户用户会看到除用于显示所请求页面的主窗口之外的其他部分. 2.浏览器引擎. 它是用于查询和操作渲染引擎的界面. IE浏览器使用的引擎是易于操作且功能强大的Trident引擎. 3.渲染引擎. 用于显示请求的内容. 例如，如果请求的内容是html，则它负责解析html和CSS，并显示解析的结果.

4. 网络组件. 它用于完成网络调用（例如http请求），具有独立于平台的界面，并且可以在不同平台上工作. 5. UI后端. 它用于绘制基本组件，例如组合框和对话框. 它具有一个特定于平台的通用界面，而底部则使用操作系统的用户界面. 6. JavaScript解释器. 用于解释和执行JavaScript脚本代码. 7.数据存储. 属于持久性层的浏览器需要在硬盘中保存各种轻量数据，例如cookie，历史浏览记录等. 在IE的七个功能组件中，数据存储组件与取证密切相关. IE浏览器使用ESE存储相关的数据信息，例如访问记录，cookie数据和缓存文件记录等. 这些是Web取证研究的重要信息材料. 在客户端系统上，它们都保存在“ * .dat”格式的数据文件中. 此处应注意，在IE10之前，IE浏览器的访问记录，cookie数据和缓存文件记录以Index.dat数据格式存储在相应的文件目录中. IE10及更高版本中的所有记录都存储在系统统一目录中的WebcacheV01.dat文件中. 本文以IE6，IE8和IE10为例. 表1中显示了它们的特定文件名和存储方法: 摘要: 讨论有关IE浏览器取证的知识，并介绍了将Web访问记录保存在IE浏览器中的ESE文件，并以IE6，IE8和IE10为例分析存储Windows系统中ESE文件的位置和方法.

重点针对两个ESE文件Index.dat和Webcachev01.dat的结构分析，并出于取证的目的，专门分析了IE浏览器取证中的二进制分析方法，并介绍了工具取证方法. 关键字: IE浏览器取证ESEIndex.dat Webcachev01.dat基于ESE文件分析的IE浏览器取证技术研究取证研究的关键是分析Index.dat和Webcachev01.dat并掌握其内部结构，以便快速进行. 并准确获取所需的证据信息. 第三，Index.dat和Webcachev01.dat文件的结构分析. 在Windows客户端系统中，Index.dat和Webcachev01.dat是隐藏的系统文件，通常不容易删除. 这也是浏览器取证的来源. 一个重要的原因. Index.dat和Webcachev01.dat只能以二进制形式打开，并且您还可以使用的软件工具来查看所需的信息. 它们的内部结构不同. 在下文中，我们将分别分析它们. （1）Index.dat文件的结构分析1.文件头Index.dat文件头包含一些重要信息，例如文件大小和第一个HASH表的偏移地址. 数据结构如表2所示. 2. HASH表HASH表位于Index.dat文件中，其作用是在Index.dat文件中查找有效的活动记录地址.

此处应注意，如果Index.dat文件很大，则它可能具有多个HASH表. 每个哈希将包含一个指向下一个哈希表的指针. HASH表的数据结构如表3所示: 3.活动记录Index.dat活动记录包含三种类型的数据记录，即URL，LEAK和REDR. 每种类型的条目的数据结构都不同，但是每种条目的前8个字节的结构都相同. 系统使用这两个DWORD字段来区分条目类型. Cookie记录和历史URL记录是URL类型，而Cache记录具有以下三种类型. URL和LEAK类型包含大量信息，例如记录类型，记录长度，上次修改时间，用户名，网页信息和缓存文件路径信息dat文件，而REDR类型仅包含单个网页数据. 表4和表5中显示了详细的类型结构: （2）Webcachev01.dat文件的结构分析. WebcacheV01.dat文件中存在IE10的Internet跟踪记录. 与同时存在于三个文件目录中的Index.dat文件不同，WebcacheV01.dat文件仅存在于Webcache目录中. 除了ESE文件之外，Webcache目录还包括: 检查点文件（* .chk格式），事务日志文件（* .log格式）和保留的事务日志文件（* .jrs格式）.

WebcacheV01.dat包含大量数据，其结构比Index.dat复杂得多. 在下表中，我们列出了WebcacheV01.dat数据表头的数据结构: WebcacheV01.dat中的数据存储将其保存为单个表，每个表的位置与上一个表的大小有关. 通常，这些表的大小是固定的，并且表头数据中所有表的条目均为0xEC. 四，IE浏览器取证的具体分析方法对于IE浏览器取证，我们可以大致分为两种方法，一种是在透彻了解ESE文件的基础上，通过二进制分析获得所需的证据信息，这种方法优点是自由和实用，缺点是效率低. 另一种方法是使用特殊的ESE数据文件分析工具来获取所需的信息. 这种方法的优点是简单易操作，缺点是您需要购买专用工具并获取信息. 接下来，我们将重点介绍二进制数据分析方法以及IE浏览器工具取证的简要介绍: （1）二进制数据分析1.在Index.dat文件中获取信息我们使用二进制软件（二进制视图）以打开Cookies，对History和Cache下的Index.dat记录进行分析，如图1，图2和图3所示: 在图1中，橙色标记的部分，每个cookie记录均以“ URL”关键字和“ Cookie”开头“标记为关键字.

0x55 52 4C 20 4密钥标识字节表示它是URL类型； 0x43 6F 6F 6B 69 65表示这是一个cookie记录. 在此记录中，记录长度为: 0x00000040，即64个字节. 记录的最后修改时间的二进制代码为: 0xD0 F1 1E 49 C9 2B D0 01;最后的访问时间为: 0x40 B7 A8 57 C9 2B D001. 此处应注意，在Index.dat文件中，该时间为64位（8字节）结构. 在SDK文档中，此结构的描述如下: “文件时间结构的64位值表示从1601年1月1日开始的间隔为100纳秒的值. ”显示时，该值将转换为系统时间结构. 转换后，最后修改时间为: 2015-1-9 5:01:10;最后访问时间是: 2015-1-9 5:01:35. 访问用户是: 管理员，访问网站是: mmstat.com. 从图2的橙色部分开始，如图1所示，历史数据记录仍以“ URL”关键字开头，不同之处在于历史数据记录用“ Visted”关键字标记，并且其十六进制代码为: 0x56 69 73 69 74 65 64.

类似于cookie记录，此数据文件还记录Web跟踪信息，例如用户名，记录长度，访问时间和访问URL. 图中记录的URL为: : 8080 / cic，它是打开端口8080的Intranet服务器地址. 从图3的橙色部分开始，缓存数据记录仍以“ URL”关键字开头，并标有“ http”关键字. 缓存数据记录了许多浏览器访问跟踪，包括用户名，访问URL，最后访问时间，最后修改时间，点击次数，部分缓存文件路径，网络协议，缓存文件类型，缓存文件长度和其他信息. 图中记录的URL是: ;网络协议: HTTP / 1.1；缓存文件类型: ASP.NET；文件长度: 39435. 2.获取Webcachev01.dat文件中的信息我们使用WinHex软件打开一个Webcachev01.dat文件，如图4所示: 图4截取Webcachev01.dat头中的十六进制数据. 根据表6，文件开头的四个字节“ 7E D3 46 1D”是XOR校验码. “ EF CD AB 89”的后四个字节是文件标识. 从0x18开始的28个字节是ESE徽标的内容: 创建时间，兰特，计算机.

从0x6C开始的28个字节是日志标识，包括与标识相同的内容. 在此示例中，单页数据文件的大小记录为0xEC: “ 00 00 80 00”，转换为十进制为32768，大小约为32K. 这也意味着在此示例中单页文件的起点是0、32768（0x8000），65536（0x10000），98304（0x18000）...等. 电子取证的每一页74 2016年第四季度存储的文件的内容不同. 例如，从1179648（0x120000）开始的数据文件记录诸如访问用户名和访问信息存储路径之类的信息，如图5所示. 保存信息的路径为: C: \ Users \ Nie \ AppData \ local \ Microsoft \ Internet Explorer \ DoMStore目录. 起始于6667672（0x660000）的数据文件记录了诸如客户端用户的浏览历史记录之类的信息，如图6所示: 我们可以看到它也具有图标性关键字Visited. 图中记录的客户端浏览的历史网站信息为: record.php，用户名为聂.

（2）的工具取证1. Index.dat文件分析软件用于分析Index.dat文件的最常用工具软件是IndexdatViewer，如图7所示: IndexdatViewer的试用版可以自动搜索所有Index.dat. 在客户端上对文件进行分析和提取，并以用户可读的方式直观显示. 但是，仅显示内容的三个部分. 名称是网站地址，LastModifiedTime的最后修改时间和LastAccessedDate的最后访问时间. 时间可以精确到秒. 2. Webcachev01.dat文件分析软件Webcachev01.dat文件的典型分析工具是ESEDatabaseViews. ESEDatabaseViews操作界面的试用版如图8所示: 通过ESEDatabaseViews软件，我们可以更直观地查看存储在Webcachev01.dat中的记录数据和特定内容. 它根据存储在文件中不同单页中的内容以表格的形式编号和分类. 上图显示了URL历史记录表，该表存储Url信息，访问服务器端口号，主机名和其他数据信息. 5.结束语计算机技术正在不断更新和进步，我们对法证技术的探索永远不会停止.

因为新技术总是带来新的想法和新的变化. 单个IE浏览器具有从IE9到IE10的完全不同的数据存储方式，并且新的浏览器体系结构正在不断改进和开发. 这些变化提醒我们电子取证是一项需要不断学习和不断研究的技术. 我们必须始终关注与计算机相关的尖端软件和硬件应用程序，并始终保持强大的研究活力和敏锐的洞察力. 只有这样dat文件，才有可能抓住未来实际社会和网络分子的机会. 参考文献[1]吴青，吴顺祥. Index.dat文件结构分析[J]. 现代计算机，2008,12（2）: 23-27. [2]陶子怡，毕善伟. 浏览器取证技术[J]. 计算机系统应用，2013.3（3）: 15-18. [3] Bonnie Malmstrom，菲利普·特维尔（Philip Teveldal）. Internet Explorer 10中ESE的取证分析. 2013.12-20.75 PT口腔技术2016Дµ4Ж

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shumachanpin/article-227660-1.html