無痕瀏覽與可攜式瀏覽的新型態使用方式近來相當普及,但由於網頁瀏覽器鑑識是數位鑑識中非常重要的一部分,因此鑑識人員必定會面臨極大的挑戰,對此,本文針對可攜式瀏覽器進行跡證萃取的研究,以期解決鑑識人員面對這兩種瀏覽狀態時的困境。
在大多數的事件中,鑑識人員對網頁瀏覽器紀錄產生興趣的,大多可以歸類為以上三種的其中之一。
網頁瀏覽器的使用,絕對不只用來瀏覽網頁,許多線上應用程式現在能夠以網路應用軟體的模式取得。因此,除了針對個別的瀏覽器需要特別的工具和技巧外,對於瀏覽器上各種活動的調查也要熟悉。
不同的網路電子信箱軟體會隨著瀏覽器的不同而留下不同的跡證,舉例來說,收取一個由Microsoft Hotmail寄發的電子郵件附件檔案,當使用者利用Internet Explorer或Google Chrome經由Hotmail收取郵件時可以從硬碟還原。這個實驗證明,證據的取證需要隨著瀏覽器、證據的類型和使用網路應用程式的不同而改變。
另一個例子是,早期電腦上安裝的即時通訊已被現在流行的社交網站Facebook所取代,它的即時訊息功能會隨著使用不同的瀏覽器而讓跡證存在於電腦不同的位置,且因為其訊息之文字加密方式的不同,而有不同的格式。因此,使用不同瀏覽器、不同的網路應用軟體的組合,對鑑識分析造成十分複雜的情況。
無痕瀏覽及可攜式瀏覽器
瀏覽器隨著使用者對於網路瀏覽隱私的需求漸漸興起,導致無痕瀏覽功能的產生。無痕瀏覽的功能可保護個人隱私,如Internet Explorer的InPrivate、Firefox的Private Browsing以及Google Chrome的Incognito,其目的就在於會透露個人隱私訊息的瀏覽紀錄、圖檔、密碼、Cookies或Web Cache的網頁紀錄刪除,保護用戶的隱私資訊不被駭客利用。
假如無痕瀏覽能夠完全達到無痕的效果,一旦發生網路犯罪,將會造成數位鑑識人員取證的困難。在無痕瀏覽的研究中,發現Microsoft Internet Explorer、Google Chrome和Mozilla Firefox的無痕瀏覽模式都會在記憶體留下跡證。無痕瀏覽的工作階段所留下的跡證,以已刪除檔案的形式被Microsoft Internet Explorer存放在硬碟內。在一些實驗中,Mozilla Firefox在硬碟中的Pagefile.sys檔內留下跡證。在Pagefile.sys檔內會留下跡證,是因為以置換檔充當虛擬記憶體的結果。
除了無痕瀏覽外,另一種保護使用者隱私性的瀏覽器為可攜式瀏覽器。可攜式瀏覽器具備易用性、快速執行、隱私性以及免安裝的優點,這些優點也造就了可攜式瀏覽器的普及。可攜式瀏覽器是為了不適合使用安裝版瀏覽器的狀況而出現的。
舉例來說,一個安裝在感染病毒的作業系統上的瀏覽器有很高的可能性也感染了病毒,為了避免這種狀況,可攜式瀏覽器將使用者的書籤以及使用環境儲存於可攜式儲存裝置上來執行。
可攜式瀏覽器的概念是執行Mozilla Firefox的改版Fireguard瀏覽器,其目的是為了減少資檔案料的洩漏以及惡意程式碼利用瀏覽器外掛弱點進行軟體攻擊的風險。
最明顯的是,從數位鑑識的角度來看,Fireguard過去也嘗試盡量將網頁瀏覽器使用留下的跡證最小化。目前在網路上可輕易地下載到一些可攜式瀏覽器,包括Mozilla Firefox,而Google Chrome和Opera也有新興的其他可攜式瀏覽器,本文將聚焦在Google Chrome瀏覽器進行可攜式瀏覽器以及無痕瀏覽的跡證萃取。
確認實驗過程細節
為了解決可攜式瀏覽器與無痕瀏覽對鑑識人員帶來的挑戰,本文將利用以下的實驗進行跡證萃取。這裡利用Google Chrome進行實驗操作,並將結果類推到其他瀏覽器上。實驗目的及操作步驟如下所述。
實驗目的及環境
使用Google Chrome安裝版和可攜式網頁瀏覽器進行以下的實驗,目的是為了找出萃取出可攜式瀏覽器與無痕瀏覽狀態下的瀏覽記錄方式。
該實驗以虛擬機器架設研究環境,以便觀察資料變化,實驗環境如下所列:
- 虛擬機器系統:使用VMware Workstation 8.0.1,記憶體容量為1GB,作業系統為Windows 7家用版(32位元),硬碟容量60GB,格式為NTFS。
- 瀏覽器:Google Chrome version 32.0.1700.76 m及Google Chrome Portable 32.0.1700.76。
- 鑑識工具:Encase version 6.18.1、FTK Imager Lite 3.1.0及WinHex 16.4。
實驗步驟
為求得使用不同瀏覽器或瀏覽方法所造成的隱私性差異,以及找出不同瀏覽方式的跡證位置,實驗步驟如下:
- 1. 在VM中獨立開啟可攜式瀏覽器進行一般網頁瀏
覽。
- 2. 在瀏覽器的搜尋列中輸入關鍵字、網址列和各個網
路應用服務的帳號密碼。
- 3. 待輸入關鍵字、URL以及帳號與密碼之後關閉瀏覽
視窗。
- 4. 進一步使用鑑識工具進行記憶體傾印(Dump)
後,記憶體映像檔與暫存區分別進行資料萃取分析。
- 5. 利用Encase進行完整的掃描。
- 6. 接下來,在VM中獨立開啟可攜式瀏覽器和安裝
版瀏覽器進行無痕瀏覽模式,重複步驟2~5。
在瀏覽狀態中輸入關鍵字、網址列及各網路應用服務的帳號密碼,如表1所述,而各網站搜索以及登入如圖1~3所示。
表1 輸入關鍵字及各網路應用服務的帳號及密碼
 |
| ▲圖1 YouTube搜尋。 |
 |
| ▲圖2 Google搜尋。 |
 |
| ▲圖3 Facebook登入。 |
實驗結果
實驗測試了Google Chrome的可攜式和安裝版。利用一般瀏覽及無痕瀏覽在不同的網站進行搜尋與登入的動作,並且關閉瀏覽器後進行鑑識。然後,利用實驗環境提及的Encase和FTK Imager進行記憶體或硬碟的跡證萃取。