【美亚技术分享】第十七期:新一代浏览器Edge取证分析
1 Edge浏览器介绍
Edge浏览器是随Windows 10系统推出的新一代浏览器,是微软推广Windows 10系统的重点和亮点之一,取代了IE浏览器,成为Windows 10系统的内置浏览器。
Edge浏览器采用全新Edge渲染引擎,支持语音控制,支持安装各种功能拓展插件,以带给用户更加快捷友好的上网体验。Edge浏览器暂时只能运行在Windows 10环境。
2 Edge浏览器上网历史数据
Edge浏览器用户的上网数据一般存放在:
1.Users/XXX/AppData/Local/Packages/Microsoft.WindowsEdge_XXX。这个目录基本上存放了Edge浏览器大部分的上网记录数据,但数据存放相对零散,关键数据会加密。如图:
2.AppData/Microsoft/Windows/WebCache/WebCacheV01.dat。这个文件存放了Edge浏览器的历史记录、缓存索引信息、Cookie索引信息以及下载记录等信息,是提取Edge浏览器大部分上网历史信息的关键文件。
3.Users/XXX/AppData/Local/MicrosoftEdge。这个目录存放了部分Edge浏览器的缓存实体文件、Cookie实体文件等信息和文件。
2.1 历史记录
Edge浏览器的历史记录记录了用户浏览的网站地址、浏览时间以及访问频率等信息,是体现用户活动情况的重要方面之一。历史记录主要存放在AppData/Microsoft/Windows/WebCache/WebCacheV01.dat,其存放格式和信息提取结果如图:
2.2 下载记录
Edge浏览器的下载记录是记录用户下载的网站地址、所下载文件大小和文件存放位置等信息。下载记录主要存放在AppData/Microsoft/Windows/WebCache/WebCacheV01.dat,其存放格式和信息提取结果如图:
2.3 书签/收藏夹记录
Edge浏览器的书签/收藏夹记录展示了用户比较喜欢或经常访问的网站地址或文件URI等信息,是体现用户喜好和习惯的重要方面之一。书签记录主要存放在AC/MicrosoftEdge/User/Default/Favorites目录,Edge浏览器的书签按照名称进行排序显示,其存放格式和信息提取结果如图:
2.4 阅读列表
Edge浏览器的阅读列表保存了用户阅读的文件和访问的网站地址,以及阅读进度等信息,一定程度上呈现用户的行为习惯。阅读列表主要存放在AC/MicrosoftEdge/User/Default/DataStore/Data/nouser1/xxx-xxx/DBStore/spartan.edb。其存放格式和信息提取结果如图:
2.5 Cache记录
Edge浏览器的Cache缓存记录保存了用户访问过的网站的离线信息,一定程度上能够还原用户最近的上网现状。Cache缓存记录主要存放在Users/XXX/AppData/Local/MicrosoftEdge/WebCacheV01.dat、AC/MicrosoftEdge/Cache以及AC/#!001/MicrosoftEdge/Cache。其存放格式和信息提取结果如图:
2.6 Cookie记录
Edge浏览器的Cookie记录记录了用户以某种身份登录网站时的信息(一般都会加密),是有可能获取到用户登录某个网站的用户名和密码。Cookie记录存放在Users/XXX/AppData/Local/MicrosoftEdge/WebCacheV01.dat、AC/MicrosoftEdge/Cookies以及AC/#!001/MicrosoftEdge/Cookies。其存放格式和信息提取结果如图:
3 Edge浏览器独特功能
Edge浏览器有新增一些值得关注的独特功能。
Edge浏览器的“Web笔记”功能是将当前浏览的页面当作“画板”,可以编辑文字、涂鸦、注解和记录日记等,并保存到“阅读列表”、“书签/收藏夹”或OneNote上,或分享给好友等。
Edge浏览器的“浏览记忆恢复”功能是在下次计算机开机或者启动Edge浏览器时,将Edge浏览器上次最后浏览的页面恢复显示。Edge浏览器用于实现“浏览恢复”的功能的数据存放在目录AC/MicrosoftEdge/User/Default/Recovery。如图:
4 总结
微软的Windows 10系统是跨设备的,其上面的应用可能涉及生活和工作的方方面面。随着Windows 10的推广普及,无论是手机、平板还是PC等,对Edge浏览器上网记录的提取将会是计算机取证重要的研究对象之一。
美亚柏科一直关注行业动向,注重产品的完善拓展,着力提升对用户的服务品质和用户体验。我们在即将推出的取证大师V5版本将全面支持Windows Edge浏览器上网信息的提取,以呈现给用户更加优质的服务,敬请期待。
【美亚技术分享】推荐列表
1、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选一)
2、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选二)
3、不变与改变——CEIC2015(计算机和企业调查大会)随记
13、第十一期:浅谈Android手机取证中获取物理镜像的重要性
15、第十三期:智能情报分析系统——基于AHP的案情排查功能