陳燕月

（廈門城市職業(yè)學(xué)院 福建廈門 361008)

NetMarketShare在2020年10月發(fā)布的統(tǒng)計報告顯示，Microsoft Edge瀏覽器（簡稱Edge瀏覽器）的市場份額已經(jīng)高于10%，表明Edge瀏覽器已經(jīng)成為市場主流瀏覽器之一。因此，Edge瀏覽器將成為瀏覽器使用痕跡取證的主要研究對象之一。本文主要針對Edge歷史數(shù)據(jù)存儲位置和格式展開研究，為該瀏覽器使用痕跡取證提供理論基礎(chǔ)。

一、Edge瀏覽器介紹

Edge瀏覽器是微軟在2015年7月隨Windows10（簡稱Win10）一同推出的，改變微軟此前Internet Explorer（簡稱IE）更新需要不斷考慮瀏覽器兼容性的現(xiàn)狀。目前，微軟宣布將于2021年8月17日之后關(guān)閉Microsoft365應(yīng)用和服務(wù)對IE11的支持[1]，全新的Edge瀏覽器將替代IE成為Win10的默認(rèn)瀏覽器。

2020年1月前，Edge瀏覽器采用EdgeHTML內(nèi)核作為引擎，支持Win10環(huán)境運(yùn)行。但因?yàn)镋dgeHTML內(nèi)核的Edge瀏覽器與Win10進(jìn)行捆綁，更新緩慢。2018年12月，微軟正式宣布將Edge瀏覽器的內(nèi)核從EdgeHTML遷移為Chromium，Chromium內(nèi)核的Edge瀏覽器支持Win7、Win8、Win8.1、Win10、MacOS系統(tǒng)以及手機(jī)平臺的Android、iOS系統(tǒng)，增強(qiáng)了Edge瀏覽性能、擴(kuò)展功能和兼容性。

Web瀏覽器主要包括用戶界面、瀏覽器引擎、渲染引擎、網(wǎng)絡(luò)部件、UI后端、JavaScript解釋器和數(shù)據(jù)存儲七個部分[2]。其中數(shù)據(jù)存儲部分包括瀏覽器在使用者的計算機(jī)或手機(jī)中保存的歷史記錄、下載記錄、Cookies等輕量級的數(shù)據(jù)，瀏覽器使用痕跡取證最關(guān)鍵的就是獲取數(shù)據(jù)存儲部分的瀏覽器數(shù)據(jù)進(jìn)行證據(jù)分析和提交。

二、Edge瀏覽器歷史數(shù)據(jù)

瀏覽器的歷史數(shù)據(jù)包括用戶使用瀏覽器進(jìn)行網(wǎng)頁瀏覽、文件下載、關(guān)鍵字搜索等一系列功能所產(chǎn)生并保存下來的歷史記錄、Cache緩存記錄、下載記錄、Cookie記錄等數(shù)據(jù)。瀏覽器將用戶產(chǎn)生的使用痕跡進(jìn)行分類，并根據(jù)數(shù)據(jù)的重用性和類別采用不同的加密、存儲格式存儲到用戶設(shè)備指定文件中。以下就Edge瀏覽器存儲的各種類型的歷史數(shù)據(jù)存儲位置和格式展開研究介紹。

（一）歷史記錄

歷史記錄存儲了用戶使用瀏覽器進(jìn)行Web頁面或本地頁面訪問的時間、地址信息，在瀏覽器取證中通過用戶歷史記錄的獲取和分析可以實(shí)現(xiàn)用戶行為輪廓繪制[3]，幫助執(zhí)法者進(jìn)行不法人員排查；通過分析歷史記錄中用戶電子郵件瀏覽、地址搜索瀏覽等信息，能夠有效鎖定被調(diào)查人員的活動軌跡。EdgeHTML內(nèi)核的歷史記錄存儲在A/Microsoft/Windows/WebCach-e/WebCacheV01.dat(A表示位置[系統(tǒng)盤]/Users/[用戶名]/AppData/Local)，Chromium內(nèi)核存儲在B/History(B表示位置A/Microsoft/Edge/User Data/De-fault)。

在Windows系統(tǒng)中WebCacheV01.dat默認(rèn)是隱藏的系統(tǒng)文件，可以有效避免被誤刪除；該文件采用ESE數(shù)據(jù)庫文件的形式進(jìn)行數(shù)據(jù)存儲，只能以二進(jìn)制形式或者利用專業(yè)分析工具進(jìn)行數(shù)據(jù)查閱，其同級目錄下存儲有ESE數(shù)據(jù)庫相應(yīng)的檢驗(yàn)點(diǎn)文件（*.chk格式）、事務(wù)記錄文件（*.log格式）和保留事務(wù)日志文件（*.jrs格式）。利用WinHex可以查閱WebCacheV01.dat文件十六進(jìn)制數(shù)據(jù)。

WebCacheV01.dat文件以單個表的方式進(jìn)行數(shù)據(jù)信息的存儲，每張表的位置都和前一張表的大小有關(guān)，通常這些表的大小都是固定的，而所有表的入口存儲在表頭數(shù)據(jù)中從0xEC處開始4字節(jié)數(shù)據(jù)中[3]。WebCacheV01.dat同時存儲著Edge瀏覽器的歷史記錄、Cache緩存、下載記錄、搜索記錄、Cookie信息，采用ESEdb文件解析的形式對WebCacheV01.dat文件進(jìn)行數(shù)據(jù)提取可以獲取用戶相應(yīng)的使用痕跡。

Chromium內(nèi)核Edge瀏覽器的歷史數(shù)據(jù)存儲格式基本上與Chrome瀏覽器一致，采用SQLite數(shù)據(jù)庫文件存儲瀏覽器的上網(wǎng)記錄、Cache緩存數(shù)據(jù)、Cookies信息等數(shù)據(jù)。SQLite數(shù)據(jù)庫文件以頁為單位進(jìn)行信息存儲，頁的大小值可以根據(jù)需求指定，每頁的起始編號為1。SQLite文件前16字節(jié)為該文件的文件簽名（0x53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33 2E)，從0x10開始兩個字節(jié)數(shù)據(jù)采用大端法記錄數(shù)據(jù)庫第一頁的大小[4]。

通過SQLite數(shù)據(jù)庫查看工具訪問History數(shù)據(jù)庫文件，并利用相應(yīng)的SQL語句實(shí)現(xiàn)數(shù)據(jù)提取可以獲得用戶的瀏覽歷史記錄、搜索記錄、下載記錄、最常訪問記錄。

（二）搜索記錄

瀏覽器搜索記錄存儲用戶利用搜索引擎展開目標(biāo)信息搜尋時在搜索框輸入的關(guān)鍵字信息，通過對搜索記錄信息的查找能有效幫助取證人員推測出用戶的目標(biāo)行為。針對在逃不法分子的設(shè)備進(jìn)行取證時，通過對其搜索記錄的分析有時候能夠推測并找出不法分子的出逃目的地和方式。EdgeHTML內(nèi)核的用戶搜索記錄存儲在WebCacheV01.dat，Chromium內(nèi)核的用戶搜索記錄存儲在History、B/Web Data和B/Shortcuts。

WebCacheV01.dat文件記錄的搜索記錄，包含用戶進(jìn)行搜索操作產(chǎn)生的搜索關(guān)鍵字、訪問URL地址、網(wǎng)頁的最后訪問時間等信息；Web Data文件也屬于SQLite文件，對History和Web Data數(shù)據(jù)庫進(jìn)行查詢可以獲取用戶搜索關(guān)鍵字、URL地址、最后訪問時間及訪問網(wǎng)頁的標(biāo)題等信息。

（三）Cache緩存記錄

瀏覽器的Cache緩存將用戶打開過的網(wǎng)頁內(nèi)容存儲在本地文件中，在取證過程中通過對緩存數(shù)據(jù)的提取一定程度上能夠還原用戶最近的上網(wǎng)現(xiàn)狀。EdgeHTML內(nèi)核的Cache數(shù)據(jù)存放在WebCacheV01.dat、C/MicrosoftEdge/Cache和C/#!001/MicrosoftEdge/Cache(C表示位置/Packages/Microsoft.Windows-Edge_XXX/AC)，Chromium內(nèi)核存放在B/Cache。通過對Cache緩存信息的取證可以獲取用戶緩存文件名、URL地址、文件大小、最后訪問時間、訪問次數(shù)、創(chuàng)建時間、文件類型、過期時間等信息。

（四）Cookie記錄

Cookie記錄將用戶瀏覽網(wǎng)頁時的使用的ID、密碼、停留時間等數(shù)據(jù)存儲在本地txt文件或數(shù)據(jù)庫中，通過對該類數(shù)據(jù)的解析有可能獲取用戶的登錄特定網(wǎng)站的賬號密碼信息。EdgeHTML內(nèi)核的Cookie記錄存放在WebCacheV01.dat、C/MicrosoftEdge/ Cookies和C/#!001/MicrosoftEdge/Cookies，Chromium內(nèi)核存放在B/Cookies。通過對Cookies數(shù)據(jù)的提取可以獲取用戶瀏覽站點(diǎn)的名稱、最后瀏覽時間及數(shù)據(jù)過期時間等信息[4]。

（五）書簽/收藏夾記錄

瀏覽器書簽、收藏夾功能記錄了用戶喜歡的網(wǎng)頁地址，幫助用戶快速找到目標(biāo)網(wǎng)站。EdgeHTML內(nèi)核的書簽記錄存放在D/Favorites和D/DataStore/Data/nouser1/xxx-xxx/DBStore/spartan.edb(D表示位置C/Microsoft/Edge/User/Default)，Chromium內(nèi)核存放在B/Bookmarks。Favorites目錄下保存著用戶收藏書簽和書簽文件夾的信息，其該文件夾下每一個“.url”后綴名的文件就有一個書簽信息；spartan.edb是ESE數(shù)據(jù)庫文件采用ExChange存儲模式；Bookmarks是一個文本文件。

（六）閱讀列表記錄

EdgeHTML內(nèi)核的閱讀列表記錄了用戶收藏起來的網(wǎng)絡(luò)文章、電子書網(wǎng)址、作者及最后訪問時間等信息，閱讀列表主要存放在spartan.edb。

（七）用戶、表單信息

Chromium內(nèi)核的Edge瀏覽器將用戶個人賬號相關(guān)信息和網(wǎng)頁表單信息存儲在D/Web Data數(shù)據(jù)庫文件中，通過對用戶個人賬號相關(guān)信息和表單數(shù)據(jù)的取證有時候能幫助取證人員獲取到用戶的一些賬號、密碼及相關(guān)單據(jù)的信息。Web Data 數(shù)據(jù)庫文件存儲了用戶在特定網(wǎng)頁中填寫的表單內(nèi)容、個人身份信息和搜索記錄等可能與個人隱私有關(guān)的數(shù)據(jù)，該類數(shù)據(jù)經(jīng)過DPAPI和AES-GCM兩種加密算法進(jìn)行數(shù)據(jù)加密，在取證過程中，需要先對加密數(shù)據(jù)進(jìn)行解密，才能獲取得到正確的用戶使用信息。

（八）登錄信息

Chromium內(nèi)核的Edge瀏覽器將用戶登錄信息存儲在D/Login Data數(shù)據(jù)庫文件中，用戶登錄各個網(wǎng)站使用的賬號和密碼數(shù)據(jù)存儲在Login Data數(shù)據(jù)庫logins表中[5]，獲取用戶的賬戶密碼對取證工作具有很大幫助，logins中的密碼值使用DPAPI進(jìn)行加密。

三、Edge瀏覽器取證

Edge 瀏覽器使用歷史數(shù)據(jù)主要采用SQLite數(shù)據(jù)庫、ESE數(shù)據(jù)庫及普通文本三種形式進(jìn)行數(shù)據(jù)存儲，同時利用 DPAPI、AES-GCM 加密算法對部分?jǐn)?shù)據(jù)進(jìn)行加密后存儲[5]。通過SQLite數(shù)據(jù)庫查看工具可以實(shí)現(xiàn)SQLite數(shù)據(jù)庫的數(shù)據(jù)讀取訪問進(jìn)而達(dá)到取證的目的；存儲在ESE數(shù)據(jù)庫的數(shù)據(jù)可以利用二進(jìn)制分析方式對ESE數(shù)據(jù)庫文件進(jìn)行解析獲取證據(jù)，或者利用專門的ESE數(shù)據(jù)文件解析工具獲取目標(biāo)證據(jù)獲取；采用文本形式存儲的數(shù)據(jù)可以通過文本閱讀或文本文件讀取實(shí)現(xiàn)文本取證。

四、結(jié)束語

網(wǎng)絡(luò)空間上的違法違規(guī)行為不可避免，雖然當(dāng)前市面上的瀏覽器種類繁多，但是瀏覽器客戶端的信息存儲大同小異，Edge作為主流瀏覽器，針對該瀏覽器的取證方法可以運(yùn)用到其他瀏覽器之中，幫助取證人員更加快速獲取不法分子在網(wǎng)絡(luò)上的不法行為。