徐伟

摘 要： 随着互联网用户日益增长，与互联网相关的犯罪也在逐步增加。越来越多的刑事和民事案件可能基于从用户互联网活动收集证据，因此Web浏览器取证成为了计算机取证的主要部分。犯罪分子使用网络浏览器收集或查询新的犯罪手段信息，以掩盖其犯罪行为。但每当使用网络浏览器时，犯罪分子均会留下痕迹，浏览器历史记录、临时文件、index.dat、Cookies、下载文件、未分配的空间和缓存等，均成为了证据存在的可能线索。文中系统研究了用于Web浏览器分析的主要工具，并通过对比这些工具的性能，分析各自优点与局限性，提出一种犯罪数据收集算法，为提高证据采集效率提供了参考。

关键词： 数字犯罪； 浏览器取证； 证据采集； 隐私浏览； 犯罪手段； 犯罪数据收集算法

中图分类号： TN915.12?34； TP393 文献标识码： A 文章编号： 1004?373X（2018）08?0096?04

Abstract： As the number of Internet users grows， Internet related crimes also increase. More and more criminal and civil cases may be based on evidence collected from users′ Internet activities， so Web browser forensics has become a major part of computer forensics. Criminals use web browsers to collect or search information about new criminal means to cover up their criminal behavior. Every time a web browser is used， the offender leaves trails such as browser history， temporary files， index.dat， Cookies， download files， unallocated spaces， and caches which can all become possible clues to the existence of evidence. Therefore， in this paper the main tools used for Web browser analysis are systematically studied and the advantages and limitations of these tools are analyzed by means of comparing the performance of these tools， so as to propose a criminal data acquisition algorithm， which can provide a reference for improving the efficiency of evidence collection.

Keywords： digital crime； browser forensics； evidence acquisition； privacy browsing； criminal means； criminal data acquisition algorithm

0 引 言

嫌犯可以使用网络浏览器来检索信息，用以隐藏其犯罪活动、探索新的犯罪技巧。当嫌疑人使用Web浏览器时，其所有活动均会在电脑上留下痕迹，这种证明可以在检查嫌犯信息时，向调查软件提供有用的信息。在从嫌犯的计算机中恢复诸如缓存、历史记录、Cookie和下载列表之类的数据后，可研究访问的网站、时间和频率以及嫌疑人使用的搜索引擎关键词证明。本文研究用于Web浏览器分析的主要工具，并通过对比这些工具的性能，分析各自优点与局限性，提出一种犯罪数据收集算法，为提高证据采集效率提供了参考。

1 证据分析

综合分析：对于该分析而言，相比于其他所有信息最为关键的是时间信息。每个Web浏览器的日志文件均包含时间信息。因此，可以使用此时间信息构建时间轴数组。

目标分析：调查软件通过进行时间表分析，可以全面追查犯罪嫌疑人的犯罪行为。

搜索历史分析：一个单词或句子，搜索词可能会为犯罪提供关键字。

URL编码分析：解码编码字符与非英语国家的调查軟件相关。

用户活动分析：调查软件必须访问每个相应的网站以猜测用户活动。

恢复删除的信息：Web浏览器可以从临时Internet文件、会话日志文件、Cookie以及缓存文件中恢复已删除的信息。

2 网络浏览器取证工具

2.1 Web Historian 1.3

Web Historian 1.3[1?4]是一个允许调查收集、显示和分析网络历史数据的工具，其支持Windows操作系统和大多数浏览器。图1～图3分别为网络历史、Cookie历史和网站分析仪。

2.2 index.dat分析仪

Internet Explorer在计算机系统每个用户的主目录中保存名为“index.dat”的大量文件，其提供所有在线活动的痕迹、访问的网站、URL列表以及最近访问的文件与文档。index.dat Analyzer在Windows 操作系统上工作，并从IE检索index.dat文件[5]。index.dat Analyzer自动扫描计算机的所有index.dat项目，调查人员可选择所需的项目。index.dat Analyzer在Windows 操作系统上工作，并从IE中检索index.dat文件。图4和图5分别显示了Cookie，历史和临时互联网文件中的index.dat文件。

2.3 Chrome Analysis Plus

Chrome Analysis Plus[6]是一款用于从Google Chrome浏览器获取、查看和学习互联网历史记录的工具软件。其提取有关书签、Cookies、下载、Favicons、登录、访问量最多的网站，搜索词和网站访问历史。图6和图7分别显示了网络历史记录、搜索项时间表和登录信息等。

2.4 NetAnalysis v1.52

NetAnalysis v1.52[7?9]是网络浏览器取证工具，其支持大部分主流浏览器，主要用于分析历史信息。图8和图9显示了不同的选项卡和SQL查询构建器。

3 主动网络犯罪数据分析算法

与传统刑侦方法不同，主动犯罪侦查方案实时积累了具有证据价值的数据。因此，调查员不必只拘束于从历史文件中收集数据，还可主动地收集数据并将其存储在受保护的存储区域，避免被篡改。在本节中，基于上述侦查工具，提出一种简单而轻量的主动取证解决方案来捕获并记录用户的HTTP请求，本算法在系统启动时自动启动。所提出的解决方案流程图如图10所示。

由图10可知，其通过捕获任何出站IP数据包监视客户端网络活动。从远程服务器获取GMT时间，以对比验证当前系统的日期和时间。程序对TCP与UDP数据包进行区分，对于数据字段大于0的TCP数据包，将用户请求的URL记录在本地日志文件中，并将活动发送到本地日志服务器。

客户端发送一个HTTP请求，用于访问某些资源，这些资源可以是驻留在远程服务器上的文件或网页。该端口正在监听80端口，典型的网络数据包携带请求如图11所示。

HTTP头作为TCP数据包中的有效载荷发送，其包含可用于数字证据的信息，函数分析 “HTTP请求包头”中携带的信息。从客户端到服务器的请求消息包括：应用于资源的方法，例如获取从请求的URL中检索信息的方法；资源的标识符；正在使用的协议版本。典型请求标头如图12所示。

请求行以方法令牌开始，而方法令牌表示在URL中标识的资源上执行的方法。版本HTTP/1.1允许类型的方法是PUT，GET，POST，DELETE，TRACE和CONNECT。 GET是用于文档检索的主要方法，客户端在请求中使用GET方法后，服务器将响应客户端请求的状态行、头文件和数据。

4 结 语

犯罪证据可以从网络浏览器的缓存、历史、Cookie、下载列表中收集。隐私浏览是所有主流浏览器中的功能，用于禁用浏览历史记录和Web缓存，由此便可让犯罪者浏览网页而不存储本地数据。但隐私浏览记录在数据库文件Web CacheV01.dat中，相关日志文件可以在其他磁盘上找到，并可通过工具来恢复，例如ESECarve。WEFA工具对其他工具的弱点进行了补充，且具有对Web浏览器进行高效分析的优势。本文提到的所有工具均只能在Windows环境中运行，未来的研究可以拓展为各种操作系统中的Web浏览器取证。

参考文献

[1] GEDDES M， ZADEH P B. Forensic analysis of private browsing [C]// Proceedings of International Conference on Cyber Security and Protection of Digital Services. [S.l.： s.n.]， 2016： 1?2.

[2] JANG Y， JIN K. Digital forensics investigation methodology applicable for social network services [J]. Multimedia tools and applications， 2015， 74（14）： 5029?5040.

[3] RAJ R， MALHOTRA D K. Forensic investigation for Web forgery through Java script obfuscation [J]. International journal of computer security &； source code analysis， 2015， 1（1）： 5?8.

[4] 颜菲.折叠式内容可关联的浏览器设计与实现[J].现代电子技术，2016，39（10）：69?72.

YAN Fei. Design and implementation of folding content?associated browser [J]. Modern electronics technique， 2016， 39（10）： 69?72.

[5] Joseph N， SUNNY S， DIJA S， et al. Volatile Internet evidence extraction from Windows systems [C]// Proceedings of IEEE International Conference on Computational Intelligence and Computing Research. Coimbatore： IEEE， 2015： 1?5.

[6] AKBAL E， G?NES F， AKBAL A. Digital forensic analyses of Web browser records [J]. Journal of software， 2016， 11（7）： 631?637.

[7] MARTINI B， CHOO K K R. Cloud forensic technical challenges and solutions： a snapshot [J]. IEEE cloud computing， 2015， 1（4）： 20?25.

[8] FLOWERS C， MANSOUR A， AL?KHATEEB H M. Web browser artefacts in private and portable modes： a forensic investigation [J]. International Journal of electronic security and digital forensics， 2016， 8（2）： 99?117.

[9] 牛连强，宋强，张胜男.基于Java3D的X?VRML虚拟场景解析器模型[J].沈阳工业大学学报，2009，31（4）：445?449.

NIU Lianqiang， SONG Qiang， ZHANG Shengnan. Model of X?VRML virtual scene parser based on Java3D [J]. Journal of Shenyang University of Technology， 2009， 31（4）： 445?449.