云存储效劳的数字取证(上)_Sunbet 申博 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

云存储效劳的数字取证(上)_Sunbet 申博

跟着云计算技术的生长,越来越多的企业挑选将数据迁移到云上。由于云存储和其他云效劳的成本低、运用方便等优点,云效劳能够会被歹意用户滥用,好比运用云效劳提议DDOS进击等。用户能够经由历程手机等智能装备接见云存储效劳。以是,云效劳的取证观察就是非常须要的。本文剖析了对Windows、Mac、iPhone、Android手机等装备运用云效劳的观察取证。

云效劳可分为三种:SaaS (software as a service), PaaS (platform as a service), and IaaS (infrastructure as a service)

云数据存储效劳不只供应对文件等数据的存储,还能够对文件停止编纂。用户能够经由历程智能手机来接见企业云效劳,到达泄漏企业秘要数据的目标。

云存储效劳取证的难点在于运用一次云效劳的时刻做了甚么。日记文件能够通知我们登录用户的所作所为。然则公司是不愿意供应关于云效劳器的相干信息。传统的观察取证要领是不适用于云存储效劳的。须要将运用传统的观察取证要领和手机取证要领相结合。运用云存储效劳会在当地装备中留下踪影。文章观察了接见云存储的PC和智能手机的运动踪影。手机和剖析云存储效劳的要领。

1. 云存储效劳和数字取证

云存储效劳是一种向用户供应存储空间的IaaS。云存储效劳供应的功用越来越多,好比图像编纂、播放音乐和视频、邮件发送等。

云存储效劳能够经由历程web阅读器和客户端停止存取和接见。用户能够经由历程智能手机、平板电脑等装备接见云存储效劳。

文中,研讨职员挑选了4种云效劳停止对照,分别是Amazon S3, Google Docs, Dropbox,和 Evernote。这4种效劳能够分为三种范例,第一种是供应云存储效劳的,好比Amazon S3和Dropbox。第二种供应office套件和数据存储效劳,好比Google Docs。第三种供应note存储和数据存储,好比Evernote。

1.1 云存储效劳的数字取证步调

观察者须要从能够接见云存储效劳的装备上彀络和剖析数据,本研讨的装备中涵盖PC和智能手机,这也是运用最普遍的装备。对这些装备的观察步调如图1所示。

关于Windows和Mac体系,观察者起首要决议是不是是能够网络到非常数据。若是能够,就网络物理内存中的内容。然后,手机网页汗青、日记文件、文件和目次的数据。关于iOS体系,观察者能够搜检PC上存储的备份文件,或网络、剖析用于iTunes的数据。对安卓体系,须要把手机root以后在手机数据,root是从安卓装备中猎取数据的须要历程,由于一样平常权限没法读取一些文件和文件夹内的数据。观察者剖析下面形貌的数据的历程当中,须要搜检云存储效劳的纪录是不是存在以上数据中,若是是,观察者要进一步确认用户证书信息是不是是存在。

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

云存储效劳的取证历程

1.2 观察中的主要因素

1.2.1 阅读器日记文件

云存储效劳是基于web的效劳,以是网络和剖析上彀汗青数据。研讨职员能够经由历程检察IE、Firefox 、Chrome和Safari阅读器的文件。Web阅读器日记文件存储在profile目次中,web阅读器日记文件包罗缓存、汗青、cookie、和下载的文件。文件存储途径如表2、3所示

 云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表2 Firefox中主要文件和寄存

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表2 IE中主要文件和寄存

缓存文件包孕下载的图像文件、文本文件、图标、HTML、XML、下载的URL、下载次数和数据巨细等。汗青文件含有用户接见过的URL、web页的题目、接见次数等。Cookie文件存储的是关于主机、途径、cookie修正次数、cookie到期时候、名字和值等。下载列表包罗下载文件的当地途径、下载的URL、文件巨细和下载次数、是不是下载胜利等。经由历程web阅读器的这些文件,观察者能够找出接见和登录云存储效劳的用户运动。

1.2.2 PC中的客户端运用的Artifacts

为了方便运用,云存储效劳商会向用户供应客户端运用。客户端装置在Windows体系中的话,纪录就在注册表、日记文件和数据库文件中。若是安卓在Mac体系中,纪录文件在日记文件和数据库文件中。这些文件含有运用云存储效劳的纪录。PC上的日记文件竖立了一个用户运用云存储效劳的时候线。当运用云效劳的时刻,就会竖立数据库文件来治理用于同步的文件和文件夹。大多数的数据库文件含有文件夹和文件的名字、竖立时候、最初修正时候、是不是删除等。

1.2.3 智能手机中的Artifacts

关于智能手机中的运用纪录,起首应当搜检数据库文件、XML文件和Plist文件。异样的,数据库文件是用来停止同步的,搜检XML文件和plist文件的缘由是由于含有用户账户信息。

1.2.4 物理内存

物理内存中含有关于用户的主要信息,好比ID、登录web阅读器所用的暗码。网络的步调如图1,而只有当体系在线时,才有能够网络物理内存。

2. 云存储效劳的临时文件 (Windows and Mac)

 图4是本研讨中研讨的云存储效劳和运用版本。

  本文研讨的效劳细节 (Windows, Mac, 和智能手机运用)

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

2.1 Amazon S3

Amazon S3是基于web的云存储效劳,并且供应分歧的API。许多云存储效劳都是基于API竖立的。好比Dropbox用Amazon S3的API来停止数据存储。用户能够用Windows、Mac、iPhone、安卓智能手机登停止文件的上传、下载、翻开、删除。固然Amazon S3默许运用的是SSL,然则依然竖立了临时文件。

2.1.1 Windows

Bucket logging默许是封闭的,若是用户开启,那末日记文件就叫做bucket log桶日记。当用户下载、翻开一个Amazon S3上的office文件,会竖立一个名为s3.amazonaws.com.lnk的文件。当用户阅读桶日记文件时,会在另一个途径下竖立一个名为Log file name[n].txt的文件。

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表 5  Artifacts of Firefox on Windows.

若是用户翻开IE中的桶日记,会竖立一个临时文件,图2是一个例子。文件的第一个和第二个域是用户的ID和bucket name,第三个域是用户实行操纵的时候。第7个域形貌了用户的操纵,第8个域是用户操纵的文件名,最初一个域是HTTP 用户署理值。

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

图2—Bucket Log File.

2.1.2 Mac

诚信在线教育网【www.cxculb.com】

诚信在线教育息网以“打造教育信息垂直门户”为基础定位,将教育行业各类权威资讯、教育资源信息、可信任的行业网站信息提供给互联网用户。

须要剖析用户接见的URL和接见URL的时候,个中cache能够含有从Amazon S3下载的文件, Firefox中没有运用Amazon S3的证据。当web阅读器封闭后,相干文件就被删除。然则能够用EnCase对象停止规复。

2.2 Dropbox

Dropbox是现在最经常使用的云效劳之一,当用户向同步文件夹中增加文件、编纂文件或删除文件后,Dropbox会主动同步到web端。用户能够用Windows、Mac、iPhone、Android装备来接见云存储效劳。

2.2.1 Windows

当Dropbox用于Windows体系时,会竖立5个数据库文件,个中config.db和filecache.db含有主要的信息。由于数据库花样为SQLite数据库文件花样,以是很轻易辨认个中的内容。

起首, config.db (表 6)的主键为recently_changed3,值为最贱编纂、复制、挪动和删除的5个文件名。用户最初接见的文件位于列表最上方。文件config.db含有登录的邮箱地点和Dropbox的完全装置途径。纵然观察职员不晓得用户的ID和password,也能够经由历程config.db接见云存储。若是观察者从用户的PC中找到了config.db,那末就能够找到dropbox_path途径。然后观察者就能够在本身的电脑上装置Dropbox,并复制config.db到与用户相反的途径下。运转Dropbox后就能够接见云存储效劳了。

 云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表 6—config.db.

其次,文件竖立和修正的时候,效劳器上要同步的文件的称号和途径都存在filecache.db(表 7)中。个中时候的花样为Unix时候。

 云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表 7—filecache.db.

2.2.2 Mac

当Dropbox用于Mac体系时,除途径外,都与Windows体系相似。

2.3 Evernote

Evernote一个许可用户随时随地接见和生存notes的有名的存储效劳。与Dropbox分歧,Evernote每次生存一次就同步一次。用户能够经由历程Windows、Mac、iPhone、Android装备来接见云存储效劳。

2.3.1 Windows

当Evernote用于Windows体系时,会竖立4个文件夹,个中数据库文件和日记文件由于花样缘由很轻易被辨认。在数据库文件夹中,存在[userID].exb和[userID].exb.thumbnails文件。个中 [userID].exb (表 8)包罗note题目、竖立和修正的时候、竖立的地位、竖立时所用的操纵体系的范例如许的信息。也能够辨认附件名、范例和竖立时候等。

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表 8—[userID].exb.

文件[userID].exb.thumbnails是每次同步时对note的截图的融会,如图3所示。经由历程提取PNG文件的信息,就能够晓得note修正的汗青。

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

图 3—[userID].exb.thumbnails.

在日记文件中,包罗AppLog_[Date].txt (图 4)和enclipper_[Date].txt两个日记文件。在Evernote最先运用后,天天都邑发生一个AppLog_[Date].txt文件,文件包罗了认证信息、账户ID、运用开启和封闭的时候。enclipper_[Date].txt也是天天竖立一个,纪录了运用开启的时候。

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

图 4— AppLog_[Date].txt.

2.3.2 Mac

当Evernote用于Mac体系中时,会竖立4个文件,分别是Evernote.sql, fullscreenThumbnail.png, thumbnail.png和 Evernote.log。个中Evernote.sql是数据库文件, fullscreenThumbnail.png是note的截图, thumbnail.png含有条记的内容,Evernote.log是日记文件,等同于Windows体系下的AppLog_[Date].txt。

2.4 Google Docs

Google Docs是基于web的SaaS效劳,用户能够在iPhone和Android终端上运用其供应的web运用。文档所有者能够随时设置分享和撤回文件权限,能够上传、下载和编纂文件。如许看的话,这也属于一种云存储效劳。固然Google Docs默许运用SSL,然则依然会天生临时文件。

2.4.1 Windows

在IE 8.0中,能够竖立新的Microsoft Office word/ppt/xls,并且能够阅读和编纂这些范例的文件。在阅读和编纂的时刻会竖立一些临时文件,如表 9,表 9中的内容能够资助辨认Google Docs发生的附加品。

 云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表 9—Artifacts of Internet Explorer on Windows.

在接见Google Docs时,会竖立docs_谷歌_com[n].htm文件,该文件含有一系列Google Docs的文件列表。天天的文件从docs_谷歌_com[1].htm最先。当用户阅读文档或演示的时刻,就会竖立edit[n].htm文件。edit[n].htm文件含有Microsoft文档和演示的内容,对一个文档来讲,只含有内容的一页。当用户阅读Microsoft表格时,会竖立ccc[n].htm文件,表格的内容也会生存在ccc[n].htm文件中。当用户阅读pdf文件时,会竖立viewer[n].htm, viewer[n].txt和viewer[n].png共三个文件。Pdf文件的题目生存在viewer[n].htm中,元数据和内容生存在viewer[n].txt中,ppt或pdf的每一页都生存在viewer[n].png中。当对文档、PPT或txt停止编纂时,就会竖立edit[n].htm文件。当阅读器关掉的时刻,临时文件会删撤除,然则能够用EnCase如许的对象停止规复。

2.4.2 Mac

在Firefox v9.0.1版本中,当新建office文件时,能够停止阅读和编纂操纵。依据用户习气,会竖立一些临时文件,如表 10。

云存储效劳的数字取证(上)_Sunbet 申博 云存储效劳的数字取证(上)_Sunbet 申博

表 10— Artifacts of Firefox on Mac.

当用户阅读ppt,pptx,pdf文件时,在对应途径下回竖立png文件,ppt,pptx,pdf文件的每一页都生存在一个PNG文件中。第一页的内容生存在HTML文件中,当ppt,pptx文件被编纂时,就会竖立HTML文件,HTML文件含有docs,id= goog_如许的关键词。HTML文件是经由历程<body>和</body>之间的<div dir=”ltr”>署名停止考证的。内容在署名认证以后,一样平常在<span>和</span>之间或<font>和</font>之间。

当用户封闭阅读器后,对应的临时文件就被删除,然则能够用EnCase如许的对象停止规复。

本文翻译自:https://arxiv.org/ftp/arxiv/papers/1709/1709.10395.pdf ​,如若转载,请说明原文地点: http://www.4hou.com/data/9807.html

申博女性健康网【www.99ruxian.com】

Sunbet申博女性健康网,免费提供女性保健常识、女性饮食、女性疾病、女性心理、女性情感、女性用品、女性孕育等女性健康知识。!


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明云存储效劳的数字取证(上)_Sunbet 申博
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址