◆王灝漢

Web瀏覽器客戶端取證技術(shù)的探索與應(yīng)用

◆王灝漢

（北京電子科技學(xué)院 北京 100070 ）

本文通過(guò)分析歷史記錄、WebCacheV01.dat、Index.dat等文件，搜尋用戶在瀏覽器中留下的上網(wǎng)痕跡，從而推斷用戶所進(jìn)行的網(wǎng)絡(luò)活動(dòng)?；诖耍瑢?duì)Web瀏覽器客戶端的取證手段進(jìn)行研究，探尋在無(wú)痕模式下的取證方式。

Web瀏覽器；取證技術(shù)；無(wú)痕模式

隨著信息化的發(fā)展及以網(wǎng)絡(luò)環(huán)境的復(fù)雜多變，泄密風(fēng)險(xiǎn)越來(lái)越高，黑客攻擊、盜竊國(guó)家秘密等案件類型、數(shù)量都在逐年增加，使得保密管理面臨的挑戰(zhàn)越來(lái)越大。因此，系統(tǒng)、翔實(shí)、便捷的保密督查技術(shù)和手段對(duì)于網(wǎng)絡(luò)安全、計(jì)算機(jī)取證方面起到了至關(guān)重要作用[1]，這對(duì)于公安系統(tǒng)更好地打擊犯罪，處理網(wǎng)絡(luò)刑事案件，保密行政管理部門(mén)、國(guó)家安全部門(mén)更好地進(jìn)行保密督查活動(dòng)意義重大。

網(wǎng)絡(luò)取證的研究開(kāi)始得較早[2]，楊文靜等（2007）開(kāi)展基于數(shù)據(jù)融合和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)取證技術(shù)的研究[3]，李潔等（2015）進(jìn)行了模擬DDoS攻擊場(chǎng)景下的云取證模型的研究[4]，為取證技術(shù)研究打下的很好基礎(chǔ)。Web取證是當(dāng)前計(jì)算機(jī)電子取證研究的一個(gè)重要方向。相對(duì)于傳統(tǒng)的單臺(tái)計(jì)算機(jī)取證分析，Web取證涉及客戶端、服務(wù)器端、多個(gè)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等，需要綜合取證分析[5]。瀏覽器客戶端取證不僅是目前運(yùn)用最為廣泛的Web取證方式[6]，也是技術(shù)手段以及分析工具數(shù)量最多、最為全面的方式[7]。并且，新刑事訴訟法也對(duì)證據(jù)的內(nèi)容做出了規(guī)定，規(guī)定證據(jù)包括視聽(tīng)資料、電子數(shù)據(jù)，電子數(shù)據(jù)被獨(dú)立出來(lái)作為一種證據(jù)種類，這賦予了電子證據(jù)明確的法律地位。

在信息全球化背景之下，在法律框架下，Web取證已經(jīng)逐漸成了目前新的網(wǎng)絡(luò)環(huán)境下解決保密督查難題的重要手段[7]。因此，圍繞Web瀏覽器客戶端取證技術(shù)進(jìn)行探索與應(yīng)用進(jìn)行研究，對(duì)于Web取證有理論意義和實(shí)用價(jià)值。

1 計(jì)算機(jī)取證與Web取證系統(tǒng)框架

計(jì)算機(jī)取證是指運(yùn)用計(jì)算機(jī)辨析技術(shù)，對(duì)計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計(jì)算機(jī)證據(jù)，并據(jù)此提起訴訟。也就是針對(duì)計(jì)算機(jī)入侵與犯罪，進(jìn)行證據(jù)獲取、保存、分析和出示，是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解，以對(duì)入侵事件進(jìn)行重建的過(guò)程。不同的專家學(xué)者對(duì)計(jì)算機(jī)取證的定義不同：

Lee Garber為計(jì)算機(jī)取證下的定義是：計(jì)算機(jī)取證是分析和提取硬盤(pán)、光盤(pán)、軟盤(pán)、Zip和Jazz磁盤(pán)、內(nèi)存緩沖以及其他形式的存儲(chǔ)介質(zhì)中的數(shù)據(jù)，從而發(fā)現(xiàn)犯罪證據(jù)的過(guò)程[8]。

Judd Robbins給出的概念是：計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于潛在的、有法律效力的證據(jù)的確定和提取。

系統(tǒng)管理審計(jì)和網(wǎng)絡(luò)安全協(xié)會(huì)SANS則歸結(jié)為：計(jì)算機(jī)取證是使用軟件和工具，按照一些預(yù)先定義的程序，全面地檢查計(jì)算機(jī)系統(tǒng)，以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

Web取證屬于計(jì)算機(jī)取證的一部分，對(duì)其中每個(gè)設(shè)備的取證需要按照計(jì)算機(jī)取證標(biāo)準(zhǔn)流程進(jìn)行。計(jì)算機(jī)取證遵循的原則、涉及的技術(shù)、取證過(guò)程和應(yīng)當(dāng)注意的事項(xiàng)、原則上都適用于Web取證。

Web取證主要涉及兩方面取證：服務(wù)器端的取證工作和客戶端的取證工作。此外，在Web取證過(guò)程中，往往還會(huì)涉及相關(guān)網(wǎng)絡(luò)設(shè)備的取證工作[7]。計(jì)算機(jī)取證與Web取證的系統(tǒng)框架如圖1所示。

瀏覽器端使用ESE數(shù)據(jù)庫(kù)保存相關(guān)數(shù)據(jù)信息，Web取證就是通過(guò)其中的訪問(wèn)記錄、cookie數(shù)據(jù)、URL信息以及緩存文件記錄等信息進(jìn)行取證的。在客戶機(jī)系統(tǒng)上，它們都被保存在數(shù)據(jù)文件中。有的訪問(wèn)記錄、cookie數(shù)據(jù)以及緩存文件記錄是以Index.dat數(shù)據(jù)格式分別保存在各自對(duì)應(yīng)的文件目錄內(nèi)，有的保存在系統(tǒng)統(tǒng)一目錄下的 WebcacheV01.dat文件中。而Web瀏覽器客戶端取證就是對(duì)這些Index.dat文件、WebcacheV01.dat文件以及其他日志文件進(jìn)行分析，從而獲取其中有用的信息。

圖1 計(jì)算機(jī)取證與Web取證系統(tǒng)框架圖

2 Web瀏覽器客戶端取證技術(shù)分析

2.1 歷史記錄分析

對(duì)瀏覽器歷史記錄的分析是Web取證常見(jiàn)的技術(shù)支持，并且也是其重要的組成部分。主要目的在于檢查并分析計(jì)算機(jī)用戶通過(guò)網(wǎng)絡(luò)瀏覽器在互聯(lián)網(wǎng)上查看了哪些內(nèi)容，在互聯(lián)網(wǎng)上進(jìn)行了哪些活動(dòng)。一些關(guān)鍵證據(jù)有時(shí)會(huì)隱藏在嫌疑人的在線搜索、電子郵件及網(wǎng)頁(yè)瀏覽歷史記錄中。因此，在涉及網(wǎng)絡(luò)信息泄密案以及一些通過(guò)Web瀏覽器造成的泄密案件中，瀏覽器歷史記錄分析能夠鎖定或排除犯罪嫌疑人，理清整個(gè)泄密時(shí)間的來(lái)龍去脈，對(duì)督查工作和保密管理中的泄密案件的查處工作都起到了很大的幫助。在其他案件中，瀏覽器歷史記錄分析也能夠幫助確定嫌疑人的大致行為輪廓，甚至有時(shí)在與計(jì)算機(jī)網(wǎng)絡(luò)無(wú)關(guān)的泄密案件中，瀏覽器歷史記錄也能提供重要信息。

目前，常見(jiàn)的歷史記錄分析工具比比皆是，包括Browser History Spy、MANDIANT Web Historian、Chrome History Manager等等，都是Web取證工作中不錯(cuò)的選擇。其中，Browser History Spy是一個(gè)允許調(diào)查收集、顯示和分析網(wǎng)絡(luò)歷史數(shù)據(jù)的工具，支持多種操作系統(tǒng)，支持Firefox、Chrome和IE瀏覽器。它可以自動(dòng)檢測(cè)正確的歷史數(shù)據(jù)庫(kù)文件基于瀏覽器和當(dāng)前的用戶配置；當(dāng)不得不從另一個(gè)系統(tǒng)恢復(fù)歷史數(shù)據(jù)時(shí)，還可以手動(dòng)指定不同瀏覽器的不同歷史文件?，F(xiàn)以Browser History Spy為例，對(duì)IE瀏覽器的歷史記錄進(jìn)行分析和進(jìn)一步探究。

首先，將Browser History Spy下載下來(lái)，查看詳細(xì)信息如圖2所示。

打開(kāi)界面可以清晰地看到支持的三類瀏覽器選項(xiàng)欄，前面兩種（火狐和谷歌）都需要指定歷史信息的位置及確切的目錄，而IE瀏覽器會(huì)自動(dòng)識(shí)別版本信息和歷史記錄的位置，不用手動(dòng)指定?？梢砸绘I查詢，點(diǎn)擊后直接出現(xiàn)所有歷史記錄信息的表單（如圖3所示）。

圖3中顯示列出來(lái)的所有歷史記錄是按照名稱進(jìn)行分類的，在相同URL的類別中又以時(shí)間升序排列，相當(dāng)清晰直觀地看到所有的歷史記錄，其中包括了Website URL（網(wǎng)址）、Website Title（網(wǎng)站標(biāo)題）便于后期督查工作的開(kāi)展。另外，每一條記錄都賦予了直接的超鏈接，雙擊可進(jìn)入當(dāng)時(shí)用戶瀏覽的界面。同時(shí)，該款軟件還融合了多種功能，包括添加歷史記錄信息、刪除歷史記錄信息和表單另存為生成額外的數(shù)據(jù)文件。

圖2 Browser History Spy詳細(xì)信息

圖3 Browser History Spy的歷史記錄結(jié)果

2.2 Index.dat文件分析

Index.dat文件是一個(gè)由Internet Explorer和資源管理器創(chuàng)建的文件。該文件的功能就像一個(gè)數(shù)據(jù)庫(kù)，隨系統(tǒng)啟動(dòng)。它的功能在于收集個(gè)人信息，就像網(wǎng)址，搜索字符串和最近打開(kāi)的文件。它的職責(zé)就像數(shù)據(jù)庫(kù)中的索引。簡(jiǎn)單來(lái)說(shuō)，當(dāng)IE開(kāi)啟自動(dòng)完成，每一個(gè)瀏覽過(guò)的網(wǎng)址將被收錄進(jìn)Index.dat，IE瀏覽器據(jù)此匹配用戶輸入的字符。Index.dat也同樣存在于IE的歷史紀(jì)錄、緩存和cookies[9]。

在Windows客戶機(jī)系統(tǒng)中Index.dat是被隱藏的系統(tǒng)文件，通常情況下不易被刪除，這也是它能夠作為瀏覽器取證來(lái)源的一個(gè)重要原因。Index.dat活動(dòng)記錄包含三種數(shù)據(jù)記錄類型，分別是URL、LEAK和REDR。Cookie記錄和歷史URL記錄為URL類型，Cache記錄則具有三種類型中的任意一種。URL和LEAK類型包含了豐富的信息，如記錄類型、記錄長(zhǎng)度、最后修改時(shí)間、用戶名、網(wǎng)頁(yè)信息以及緩存文件路徑信息，而REDR類型則只包含了單一的網(wǎng)頁(yè)數(shù)據(jù)[10]。因此，在我們進(jìn)行保密督查工作時(shí)，通過(guò)分析Index.dat文件將為取證方面帶來(lái)不可忽視的幫助。

Index.dat文件可以根據(jù)IE瀏覽器中設(shè)置的路徑來(lái)查找（見(jiàn)圖4），文件路徑在C:UsersAdministratorAppDataLocalMicrosoftWindowsTemporaryInternet FilesContent.IE5中。

一方面，它們不能通過(guò)文件資源管理器一級(jí)一級(jí)地打開(kāi)，因?yàn)樵诼窂紺:UsersAdministrator路徑下，如果不選擇顯示隱藏的項(xiàng)目是沒(méi)有AppData（AppData是一個(gè)隱藏文件夾）這個(gè)文件夾的；在路徑C:UsersAdministratorAppDataLocal MicrosoftWindows下也沒(méi)有TemporaryInternet Files文件夾，更沒(méi)有其子目錄下的Content.IE5（即我所需要的Index.dat文件的存放位置），甚至選擇顯示隱藏項(xiàng)也無(wú)法顯示出來(lái)，只有在目錄中直接輸入具體路徑才能打開(kāi)它（圖5）。

圖4 Index.dat文件位置

圖5 TemporaryInternet Files文件夾下的cookie、index等文件

另一方面，Index.dat文件也難以被刪除，通過(guò)常規(guī)手段（如：清除Cookies、刪除Temporary Internet Files）是無(wú)法達(dá)到目的的。當(dāng)然，啟動(dòng)系統(tǒng)到DOS狀態(tài)下進(jìn)行刪除、切換用戶刪除其他用戶文件下的Index.dat文件等方式也行，但這些方法都比較麻煩，而且沒(méi)辦法徹底清除。甚至就算打開(kāi)無(wú)痕模式，也只是刪除部分明顯的圖片文件、cookie文件、表單文件，但根本的“.dat”文件依然保留在計(jì)算機(jī)中。由此可見(jiàn)，Index.dat文件在實(shí)際應(yīng)用中是非常有力可靠的電子證據(jù)。

另外，Index.dat文件都是二進(jìn)制文件。雖然無(wú)法直接打開(kāi)查看其中數(shù)據(jù)和重要信息，但是可以通過(guò)相應(yīng)的處理工具打開(kāi)。目前，可以應(yīng)用在Index.dat文件上進(jìn)行操作的工具也很多，比如Index.dat Analyzer、Index.dat Viewer、Index.dat Suite等等。其中，Index.dat Analyzer是一款用來(lái)查看、檢查、刪除Index.dat文件內(nèi)容的工具，具有較為強(qiáng)大且齊全的功能，是各款軟件中較為典型的Index.dat分析工具。

本文以Index.dat Analyzer為例，進(jìn)行Index.dat文件的分析。

首先，下載Index.dat Analyzer軟件，在此以2.5版本為例進(jìn)行探索。下載后打開(kāi)主頁(yè)，選擇Index.dat文件路徑（即C:UsersAdministratorAppDataLocalMicrosoftWindows TemporaryInternet FilesContent.IE5），就可以讀取到原本無(wú)法直接打開(kāi)的Index.dat文件了（圖6）。打開(kāi)后發(fā)現(xiàn)文件中包含多個(gè)上述提到的URL、LEAK和REDR類型記錄，并且可以清楚地看到每條記錄的名稱、類型、創(chuàng)建時(shí)間、進(jìn)入時(shí)間等信息。

同時(shí)，Index.dat Analyzer還支持分別更進(jìn)一步地查看每條記錄的詳細(xì)信息。雙擊進(jìn)入，可以觀察到（例如該URL類型記錄）的具體位置、地址、以及時(shí)間信息（圖7）。除此之外，Index.dat Analyzer還支持常見(jiàn)的增、刪、查、改等相關(guān)功能，在分析Index.dat文件方面確實(shí)有不少獨(dú)到之處。

在Web瀏覽器的取證過(guò)程中，挖掘盡可能豐富的用戶個(gè)人信息是十分重要的，借助對(duì)index.dat文件結(jié)構(gòu)的了解，可以快速、有效、全面地讀出文件里面的活動(dòng)記錄。通過(guò)對(duì)index.dat文件結(jié)構(gòu)的研究與分析，更是能充分發(fā)揮其在取證過(guò)程中的重要作用，從而對(duì)科學(xué)地開(kāi)展保密督查工作提供重要技術(shù)支持與有效助力。

圖6 Index.dat Analyzer中查看到的Index.dat文件

圖7 URL記錄的詳細(xì)信息

2.3 WebcacheV01.dat文件分析

WebcacheV01.dat文件與Index.dat文件類似，它們作為ESE數(shù)據(jù)庫(kù)的一種文件類型，都是用來(lái)儲(chǔ)存IE瀏覽器歷史記錄的。區(qū)別在于WebcacheV01.dat文件用于版本10以上的IE瀏覽器，而之前版本的歷史痕跡都是儲(chǔ)存在Index.dat文件中的。并且，與Index.dat文件同時(shí)存在于多個(gè)文件目錄中不同，WebcacheV01.dat文件只存在Webcache目錄之中；也不像Index.dat文件只記錄URL、LEAK和REDR類型的記錄，WebcacheV01.dat中的記錄要復(fù)雜得多。

WebcacheV01.dat文件中數(shù)據(jù)信息的存儲(chǔ)以單個(gè)表的方式進(jìn)行保存，而每張表的位置都和前一張表的大小有關(guān)。通常這些表的大小都是固定的，而所有表的入口就是表頭數(shù)據(jù)中的0x EC[6]。WebcacheV01.dat數(shù)據(jù)量很大，種類也比Index.dat復(fù)雜。在Webcache V01.dat文件中不僅有Web瀏覽器的cookie、訪問(wèn)的網(wǎng)站、DOM Storage，甚至Windows應(yīng)用程序也可以使用它來(lái)存儲(chǔ)cookie和DOM Storage。

另外，WebcacheV01.dat文件也同Index.dat文件一樣難以被刪除。在本地計(jì)算機(jī)工作過(guò)程中WebCacheV01.dat是被taskhost.exe程序鎖定的，也就是我們通常所說(shuō)的計(jì)劃任務(wù)程序。只有在該賬戶注銷后，WebcacheV01.dat文件才會(huì)被釋放，正如前文討論Index.dat文件的刪除方法時(shí)提到的，通過(guò)切換賬戶才能互相刪除。

因此，基于WebcacheV01.dat文件的記錄完整性、客觀性、難以破壞性，WebcacheV01.dat文件同樣成了如今在Web取證過(guò)程中一種重要的取證對(duì)象。有關(guān)WebcacheV01.dat文件的分析工具也同樣豐富，包括有ESEDatabaseViews、WebCacheV01.dat Viewer在內(nèi)的多種由國(guó)外研發(fā)的軟件。在此，我以ESE Database Views這款典型的分析工具為例，來(lái)對(duì)WebcacheV01.dat文件進(jìn)行分析。

下載ESE Database Views 1.16版本，打開(kāi)后直接選擇打開(kāi)ESE Database中的WebCache文件，可以看到很多表單，除了有Web瀏覽器的各種記錄表單以外，還有計(jì)算機(jī)文件系統(tǒng)的一些歷史記錄表單，我的數(shù)據(jù)庫(kù)中總計(jì)22張表單（含空表單）。其中，DependencyEntry表單記錄的是Web瀏覽器的URL相關(guān)記錄（圖8），可以看到訪問(wèn)次數(shù)、端口號(hào)、修改時(shí)間和具體的URL等信息，相當(dāng)直觀便捷。

圖8 DependencyEntry表單

除了像前兩個(gè)軟件那樣有記錄大的URL信息的表單外，ESEDatabaseViews還擁有細(xì)化到每一個(gè)腳本、每一張圖片、每一點(diǎn)信息的記錄表單（圖9）。它們不僅僅是給出了具體的URL信息、各種時(shí)間軸，甚至還緩存了圖片、腳本等的文件信息，雙擊即可查看記錄的詳細(xì)信息（圖10），文件大小、文件名、哈希值等。

圖9 詳細(xì)記錄表單

圖10 雙擊某htm記錄后的詳細(xì)信息

另外，ESEDatabaseViews軟件和常見(jiàn)的查看軟件相同，具有讀的常見(jiàn)功能，并能把數(shù)據(jù)導(dǎo)出保存。作為一款功能強(qiáng)大且齊全的分析軟件，ESEDatabaseViews可以說(shuō)是對(duì)分析WebCacheV01.dat文件大有助力，擴(kuò)展了Web瀏覽器的取證手段，提高了電子證據(jù)的完整性與可靠性，從而變相加強(qiáng)了Web取證在保密督查方面應(yīng)用中的重要地位，提高了保密督查工作的效率。

2.4 其他臨時(shí)文件分析

在分析index.dat文件過(guò)程中，搜索該文件時(shí)發(fā)現(xiàn)，計(jì)算機(jī)目錄C:UsersAdministratorAppDataLocalMicrosoftWindowsTemporary Internet Files下（win10系統(tǒng)在C:Users AdministratorAppDataLocalMicrosoftWindowsINetcache）還存在除了隱藏的Content.IE5文件夾以外的許多臨時(shí)文件。雖然這些文件不如index.dat文件和WebCacheV01.dat文件的針對(duì)性強(qiáng)，不如它們記錄的全面性和難以刪除性，但是這些臨時(shí)文件依然有一定的分析價(jià)值，在Web瀏覽器的取證過(guò)程中還是起到了一定的作用。

通過(guò)觀察發(fā)現(xiàn)，這些Temporary Internet Files目錄下的臨時(shí)文件大部分都是Java Script的腳本文件以及一系列的png、jpg格式的圖片文件，除此之外還有少量的txt文本文件和htm網(wǎng)頁(yè)文件。介于htm文件已經(jīng)在前文分析得足夠多，而JavaScript文件并不方便進(jìn)行可視化的分析。因此，本設(shè)計(jì)主要對(duì)圖片信息進(jìn)行分析，類似的臨時(shí)文件可采取同樣的分析方式方法。在此，應(yīng)用了一款名為WebCacheImageInfo的軟件對(duì)網(wǎng)絡(luò)活動(dòng)過(guò)程中的緩存的歷史圖片進(jìn)行分析。

下載并打開(kāi)WebCacheImageInfo軟件，選擇好對(duì)應(yīng)的路徑后（即Temporary Internet Files文件目錄），軟件將進(jìn)行自動(dòng)搜索。查看結(jié)果如圖11所示，其中包括了圖片的來(lái)源網(wǎng)址、瀏覽器類型、圖片瀏覽軟件以及時(shí)間等信息。除此之外，點(diǎn)擊所需圖片記錄，還能直接預(yù)覽該圖片，這一點(diǎn)是其他分析軟件所不具備的。這就為Web取證帶來(lái)了更直觀、更便捷的渠道來(lái)進(jìn)行搜證，從而大大節(jié)省了取證工作的時(shí)間成本，提高了工作效率。

圖11 WebCacheImageInfo的運(yùn)行結(jié)果

3 無(wú)痕模式下Web取證的應(yīng)用

無(wú)痕瀏覽是指不留下上網(wǎng)瀏覽記錄的互聯(lián)網(wǎng)瀏覽方式。在隱私瀏覽過(guò)程中，瀏覽器不會(huì)保存任何瀏覽歷史、搜索歷史、下載歷史、表單歷史、cookie或者Internet臨時(shí)文件。目前，大多數(shù)瀏覽器都支持無(wú)痕瀏覽技術(shù)，用戶可以根據(jù)自己的需求選擇是否開(kāi)啟無(wú)痕模式。盡管這樣的技術(shù)手段為大多數(shù)用戶帶來(lái)了更靈活、更人性化的體驗(yàn)，進(jìn)一步滿足的廣大受眾群體的需求，但是這樣一來(lái)，也為犯罪分子實(shí)施泄密、竊密等罪行提供了溫床。犯罪分子簡(jiǎn)單通過(guò)開(kāi)啟無(wú)痕瀏覽便能抹除掉所有網(wǎng)上活動(dòng)的痕跡，輕而易舉便能銷毀對(duì)自己不利的證據(jù)，為破案工作、督查工作、管理工作都帶來(lái)了巨大阻撓與新的難點(diǎn)。因此，對(duì)在無(wú)痕模式下如何進(jìn)行Web取證的探討具有深刻意義。

當(dāng)下，應(yīng)對(duì)無(wú)痕瀏覽的主要手段是數(shù)據(jù)恢復(fù)。當(dāng)cache文件以及日志文件被計(jì)算機(jī)操作系統(tǒng)或犯罪分子刪除的時(shí)候，只要磁盤(pán)管理系統(tǒng)尚未進(jìn)行重新分配磁盤(pán)空間，寫(xiě)入的數(shù)據(jù)未覆蓋原有數(shù)據(jù)，磁盤(pán)上依然存在著這些已刪除文件數(shù)據(jù)，而這些數(shù)據(jù)可能存在于磁盤(pán)的未分配存儲(chǔ)空間上，我們就可以通過(guò)讀取未分配磁盤(pán)區(qū)域物理鏡像來(lái)恢復(fù)或提取數(shù)據(jù)[7]。對(duì)于IE瀏覽器來(lái)說(shuō)，歷史記錄數(shù)據(jù)存儲(chǔ)在前文所述的index.dat或WebCacheV01.dat文件中，其中包括Cookie數(shù)據(jù)、歷史記錄和緩存文件，index.dat文件會(huì)存儲(chǔ)在不同的子目錄中。當(dāng)index.dat文件被刪除時(shí)，原數(shù)據(jù)不會(huì)清除，而是會(huì)被移動(dòng)到磁盤(pán)未分配區(qū)域，只要數(shù)據(jù)沒(méi)有被重寫(xiě)，就可以恢復(fù)出完整的歷史數(shù)據(jù)記錄。

目前這樣的通過(guò)讀取磁盤(pán)信息來(lái)恢復(fù)文件的工具、恢復(fù)數(shù)據(jù)的工具比比皆是，在此本設(shè)計(jì)不對(duì)恢復(fù)手段作進(jìn)一步探討，而是驗(yàn)證網(wǎng)絡(luò)上的另一種觀點(diǎn)：無(wú)痕瀏覽的記錄依然保存在數(shù)據(jù)庫(kù)文件WebCacheV01.dat中[4]。在上文對(duì)index.dat文件的分析過(guò)程中提到，開(kāi)啟IE瀏覽器的無(wú)痕模式不會(huì)造成index.dat文件的刪除，而是不會(huì)將cookies、臨時(shí)文件等保存在Temporary Internet Files文件夾下，因此不能對(duì)2.5中所述的類似臨時(shí)文件進(jìn)行直觀分析。但是，對(duì)index.dat文件、WebCacheV01.dat文件的分析或許是行得通的。

應(yīng)用示例：打開(kāi)IE瀏覽器并開(kāi)啟無(wú)痕瀏覽（圖12），并進(jìn)行正常上網(wǎng)活動(dòng)（除特殊情況外，其余使用無(wú)痕模式瀏覽網(wǎng)頁(yè)）。之后查看IE歷史記錄（圖13）并與打開(kāi)ESE Database Views軟件后的結(jié)果進(jìn)行比對(duì)。

圖12 IE瀏覽器無(wú)痕模式開(kāi)啟

圖13 查看IE瀏覽器的歷史記錄

對(duì)比IE瀏覽器的歷史記錄可以發(fā)現(xiàn)，在實(shí)驗(yàn)過(guò)程中無(wú)痕瀏覽的百度頁(yè)面沒(méi)有記錄在歷史記錄中。因此根據(jù)前文推測(cè)，有關(guān)百度的一系列網(wǎng)頁(yè)瀏覽過(guò)程中的cookies、歷史信息、臨時(shí)文件等都沒(méi)有保留下來(lái)，那么它們將作為變量可與ESE Database Views軟件進(jìn)行對(duì)比。打開(kāi)ESE Database Views軟件，查看WebCacheV01.dat文件，打開(kāi)記錄有詳細(xì)信息的Container_6表單查看（圖14）?？梢钥吹剑_實(shí)存在與百度有關(guān)的記錄并且數(shù)量不少，但只是部分信息并不全面，不包括標(biāo)志性的主頁(yè)URL等信息。

圖14 ESE Database Views中有關(guān)百度的信息

盡管信息不夠完整不夠全面，但是這樣的部分信息依然具有一定的取證價(jià)值。重要的是，實(shí)驗(yàn)結(jié)果佐證了歷史信息不會(huì)從WebCacheV01.dat文件刪除的結(jié)論，無(wú)痕瀏覽并非真正“無(wú)痕”。這為取證過(guò)程中遇到的“無(wú)痕”問(wèn)題提供了重要解決思路和技術(shù)突破口，也開(kāi)拓了Web取證中重要的研究方向。

4 結(jié)論

本文通過(guò)分析歷史記錄、WebCacheV01.dat、Index.dat等文件，搜尋用戶在瀏覽器中留下的上網(wǎng)痕跡，從而推斷用戶所進(jìn)行的網(wǎng)絡(luò)活動(dòng)?；诖?，對(duì)Web瀏覽器客戶端的取證手段進(jìn)行了研究，并探討了在無(wú)痕模式下的取證方式。

在科技水平迅猛發(fā)展的社會(huì)大背景下，網(wǎng)絡(luò)世界中的違法行為、違規(guī)行為在所難免，無(wú)論是泄密事件還是刑事案件都迫切地需要相應(yīng)的督查手段、破案手段，Web取證手段是其中至關(guān)重要的一種手段。作為主流的Web取證方式，瀏覽器取證顯然在傳統(tǒng)道路上行之有效。雖然市面上的瀏覽器種類繁多，層出不窮，但作為網(wǎng)頁(yè)瀏覽的客戶端，其實(shí)都同根同源，大同小異。從老版IE瀏覽器可分析的Index.dat到新版保存的WebCacheV01.dat，再到別的瀏覽器的各式各樣的臨時(shí)緩存文件，無(wú)外乎都是運(yùn)營(yíng)商給歷史記錄提供的一種保存方式。通過(guò)對(duì)它們的分析，找到歷史痕跡，便是電子取證的主要思路之一，不僅是當(dāng)下最主要的方式，也是最可靠最快捷的方式。

[1]徐東華.保密監(jiān)督檢查的管理思想溯源及其啟示[J].保密科學(xué)技術(shù)，2018（07）：44-47.

[2]任偉，金海.網(wǎng)絡(luò)取證技術(shù)研究[J].計(jì)算機(jī)安全，2004（11）：65-67.

[3]楊文靜，蘇力華，田緒安.基于數(shù)據(jù)融合和數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡(luò)取證體系的研究[J].現(xiàn)代電子技術(shù)，2007（09）：59-61.

[4]李潔，許鑫，陳宇，張丁文.模擬DDoS攻擊場(chǎng)景下的云取證模型的研究[J].信息網(wǎng)絡(luò)安全，2015（06）：67-72.

[5]徐偉.基于Web瀏覽器活動(dòng)的犯罪分析和證據(jù)采集[J].現(xiàn)代電子技術(shù)，2018，41（08）：96-99.

[6]郭巖，白碩，于滿泉.Web使用信息挖掘綜述[J].計(jì)算機(jī)科學(xué)，2005（01）：1-7.

[7]夏榮.Web取證分析技術(shù)研究與應(yīng)用[J].信息網(wǎng)絡(luò)安全，2015（09）：201-205.

[8]楊仲林.泄露上網(wǎng)隱私的“幕后黑后”——全面認(rèn)識(shí)Index.dat文件[J].電腦應(yīng)用文萃，2005（08）：92.

[9]聶明輝.基于ESE數(shù)據(jù)庫(kù)文件分析的IE瀏覽器取證技術(shù)研究[J].警察技術(shù)，2016（04）：72-75.

[10]陶姿邑，畢善為.瀏覽器取證技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2014，23（05）：8-15.