由於隱私問題,flash cookie進來成為乙個熱點安全話題。不過從另乙個角度講,flash cookie(即本地共享物件)卻是乙個很好的法庭證據——因為凡是在個人隱私上有問題的東西,都在取證調查上都很有用。本文首先詳細介紹flash cookie的有關基礎知識,然後闡述了它在取證分析中的應用,最後給出乙個操作flash cookie的小工具。
一、flash cookie基礎知識
首先,介紹一些flash cookie方面的基礎知識:
◆flash標準的本地共享物件本地共享物件允許在使用者電腦上的本地flash例項中儲存資料。
◆本地共享物件是作為一些單獨的檔案來儲存的,它們的擴充套件名為.sol。預設時,它們的尺寸為不超過100kb,並且不會過期——這一點與傳統的http cookie不同。
◆本地共享物件並不是基於瀏覽器的,所以普通的使用者不容易刪除它們。如果要刪掉它們的話,首先要知道這些檔案所在的具體位置。這使得本地共享物件能夠長時間的保留在本地系統上。
二、取證分析
在進行計算機調查取證時,將本地共享物件描述為flash cookie是比較恰當的,因為它們提供了類似於傳統的http cookie的各種資訊。一般情況下,flash cookie可以提供下列資訊:
已訪問過的**
flash要求按照網域名稱的體系結構分層儲存本地共享物件。這樣做能夠強制每個網域名稱只能在本地系統上最多存放100k資料。從我們的角度來說,這給調查取證工作開啟了一扇迅速檢查已訪問站點的方便之門。
圖1 顯示本地共享物件域的目錄清單
要注意的是,基於flash的廣告也能夠儲存本地共享物件,這一點很重要,因為在一些情況下我們要考慮這些站點是不是使用者特意去訪問的。本地共享物件的**是非常明顯的(參見圖2),但是更進一步地測試或者額外的證據可能必須要進行必要的推斷。
圖2 來自乙個flash廣告的本地共享物件
訪問站點時所登入的本地使用者帳戶
我們知道,.sol檔案位於%user profile%資料夾中,而它正好指出了儲存該檔案時使用者所登入的帳戶。
訪問站點的起止時間
因為.sol檔案是單獨存放的,所以我們能夠利用檔案系統的時間戳來確定該檔案的建立和最後一次修改時間。在windows xp 系統上,我們可以使用訪問時間來確定最近讀取該檔案的時間。通過它,我們可以了解最近一次訪問該站點的時間,但是我們必須小心,因為我們尚不明了要求站點讀取該本地共享物件的標準。但是大部分情況下,每當訪問這些站點的時候,它們就會訪問它們存放在使用者端的本地共享物件;不過,如果由於某種原因站點沒有讀取該本地共享物件的話,訪問時間就不會改變。
sol檔案的建立時間有可能告訴我們第一次訪問該站點的時間。再一次強調,我們無法保證該在第一次訪問該站點時必定建立該本地共享物件,所以斷定起來有些難度。最佳的說法應該是已知的最初訪問該站點的時間。在系統上的其他證據可能印證這確實是第一次訪問時間,或者表明還有更早的訪問時間。
所以,放回頭去在看看圖 1,我們可以看到已知的訪問mg3.mail.yahoo.com的最早時間是11/27/2008上午1:38,已知的最後一次訪問時間為8/17/2009下午5:27,這裡的時間都是本地計算機時間。
**儲存的資料
flash試圖通過控制格式並迫使所有的資料都存放成二進位制序列來對本地共享物件資料進行混淆處理。也就是說,如果您發現了乙個相關檔案,那麼就不要忽視這個資料區域。我也發現有趣的明文訊息,例如天氣**儲存的基於文字的位置資訊。
三、flash cookie工具
雖然不推薦作為取證工具使用,因為它要求在乙個工作的系統上安裝執行,但是better privacy firefox擴充套件用於在本地系統上發現和清除本地共享物件還是非常不錯的。了解法庭證據來最好手段之一是在乙個已經知道其行為的系統上做檢查,例如在自己的系統上。外掛程式better privacy允許您輕鬆地檢視和管理在乙個執行中的系統中的本地共享物件。
圖3 better privacy外掛程式的截圖
四、小結
由於隱私問題,flash cookie進來成為乙個熱點安全話題。不過從另乙個角度講,flash cookie(即本地共享物件)卻是乙個很好的法庭證據——因為凡是在個人隱私上有問題的東西,都在取證調查上都很有用。本文首先詳細介紹了flash cookie的有關基礎知識,然後闡述了它在取證分析中的應用,最後給出了乙個操作flash cookie的小工具。
flash cookie的製作和使用例子詳解 二
這一篇主要是介紹一下,在 flash cookie的製作和使用例子詳解一 的基礎上怎麼使用外部的actionscript3的類也就是as檔案,這裡主要是看 具體的東西不做介紹,不明白的可以看看 flash cookie的製作和使用例子詳解一 url 先定義一下外部的類,這裡的這個類是從網上找的乙個操...
flash cookie的製作和使用例子詳解 三
前面的兩篇部落格介紹的是怎麼用頁面來操作flash cookie,還要放在容器裡執行,這篇做乙個簡單的僅僅使用flash就可以讀寫flash cookie的例子 先看flash中的 當然這次要在flash中定義一些button 顯示,輸入等控制項,看頁面就知道定義了哪些控制項,再看 就知道這些控制項...
20180517函式用於計算矩陣相乘
最近學習python,於是寫下了如下程式 import numpy as np def matrixmultip a,b m a.shape 0 n a.shape 1 n1 b.shape 0 h b.shape 1 if n n1 print the matrix can t multiply ...