导语:因为云存储和其他云服务的成本低、使用方便等好处,云服务可能会被恶意用户滥用,比如使用云服务发起DDOS攻击等。

随着云计算技术的发展,越来越多的企业选择将数据迁移到云上。因为云存储和其他云服务的成本低、使用方便等好处,云服务可能会被恶意用户滥用,比如使用云服务发起DDOS攻击等。用户可以通过手机等智能设备访问云存储服务。所以,云服务的取证调查就是非常必要的。本文分析了对Windows、Mac、iPhone、Android手机等设备使用云服务的调查取证。

云服务可分为三种:SaaS (software as a service), PaaS (platform as a service), and IaaS (infrastructure as a service)

云数据存储服务不仅提供对文件等数据的存储,还可以对文件进行编辑。用户可以通过智能手机来访问企业云服务,达到泄露企业机密数据的目的。

云存储服务取证的难点在于使用一次云服务的时候做了什么。日志文件可以告诉我们登录用户的所作所为。但是公司是不愿意提供关于云服务器的相关信息。传统的调查取证方法是不适用于云存储服务的。需要将使用传统的调查取证方法和手机取证方法相结合。使用云存储服务会在本地设备中留下踪迹。文章调查了访问云存储的PC和智能手机的活动踪迹。手机和分析云存储服务的方法。

1. 云存储服务和数字取证

云存储服务是一种向用户提供存储空间的IaaS。云存储服务提供的功能越来越多,比如图像编辑、播放音乐和视频、邮件发送等。

云存储服务可以通过web浏览器和客户端进行存取和访问。用户可以通过智能手机、平板电脑等设备访问云存储服务。

文中,研究人员选择了4种云服务进行对比,分别是Amazon S3, Google Docs, Dropbox,和 Evernote。这4种服务可以分为三种类型,第一种是提供云存储服务的,比如Amazon S3和Dropbox。第二种提供office套件和数据存储服务,比如Google Docs。第三种提供note存储和数据存储,比如Evernote。

1.1 云存储服务的数字取证步骤

调查者需要从可以访问云存储服务的设备上收集和分析数据,本研究的设备中涵盖PC和智能手机,这也是使用最广泛的设备。对这些设备的调查步骤如图1所示。

对于Windows和Mac系统,调查者首先要决定是不是可以收集到异常数据。如果可以,就收集物理内存中的内容。然后,手机网页历史、日志文件、文件和目录的数据。对于iOS系统,调查者可以检查PC上存储的备份文件,或收集、分析用于iTunes的数据。对安卓系统,需要把手机root之后在手机数据,root是从安卓设备中获取数据的必要过程,因为普通权限无法读取一些文件和文件夹内的数据。调查者分析上面描述的数据的过程中,需要检查云存储服务的记录是否存在以上数据中,如果是,调查者要进一步确认用户证书信息是不是存在。

图片.png

云存储服务的取证过程

1.2 调查中的重要因素

1.2.1 浏览器日志文件

云存储服务是基于web的服务,所以收集和分析上网历史数据。研究人员可以通过查看IE、Firefox 、Chrome和Safari浏览器的文件。Web浏览器日志文件存储在profile目录中,web浏览器日志文件包含缓存、历史、cookie、和下载的文件。文件存储路径如表2、3所示

 图片.png

表2 Firefox中重要文件和存放

图片.png

表2 IE中重要文件和存放

缓存文件包括下载的图像文件、文本文件、图标、HTML、XML、下载的URL、下载次数和数据大小等。历史文件含有用户访问过的URL、web页的标题、访问次数等。Cookie文件存储的是关于主机、路径、cookie修改次数、cookie到期时间、名字和值等。下载列表包含下载文件的本地路径、下载的URL、文件大小和下载次数、是否下载成功等。通过web浏览器的这些文件,调查者可以找出访问和登录云存储服务的用户活动。

1.2.2 PC中的客户端应用的Artifacts

为了方便使用,云存储服务商会向用户提供客户端应用。客户端安装在Windows系统中的话,记录就在注册表、日志文件和数据库文件中。如果安卓在Mac系统中,记录文件在日志文件和数据库文件中。这些文件含有使用云存储服务的记录。PC上的日志文件创建了一个用户使用云存储服务的时间线。当使用云服务的时候,就会创建数据库文件来管理用于同步的文件和文件夹。大多数的数据库文件含有文件夹和文件的名字、创建时间、最后修改时间、是否删除等。

1.2.3 智能手机中的Artifacts

对于智能手机中的使用记录,首先应该检查数据库文件、XML文件和Plist文件。同样的,数据库文件是用来进行同步的,检查XML文件和plist文件的原因是因为含有用户账户信息。

1.2.4 物理内存

物理内存中含有关于用户的重要信息,比如ID、登录web浏览器所用的密码。收集的步骤如图1,而只有当系统在线时,才有可能收集物理内存。

2. 云存储服务的临时文件 (Windows and Mac)

 图4是本研究中研究的云存储服务和应用版本。

  本文研究的服务细节 (Windows, Mac, 和智能手机应用)

图片.png

2.1 Amazon S3

Amazon S3是基于web的云存储服务,并且提供不同的API。许多云存储服务都是基于API建立的。比如Dropbox用Amazon S3的API来进行数据存储。用户可以用Windows、Mac、iPhone、安卓智能手机登进行文件的上传、下载、打开、删除。虽然Amazon S3默认使用的是SSL,但是仍然创建了临时文件。

2.1.1 Windows

Bucket logging默认是关闭的,如果用户开启,那么日志文件就叫做bucket log桶日志。当用户下载、打开一个Amazon S3上的office文件,会创建一个名为s3.amazonaws.com.lnk的文件。当用户浏览桶日志文件时,会在另一个路径下创建一个名为Log file name[n].txt的文件。

图片.png

表 5  Artifacts of Firefox on Windows.

如果用户打开IE中的桶日志,会创建一个临时文件,图2是一个例子。文件的第一个和第二个域是用户的ID和bucket name,第三个域是用户执行操作的时间。第7个域描述了用户的操作,第8个域是用户操作的文件名,最后一个域是HTTP 用户代理值。

图片.png

图2—Bucket Log File.

2.1.2 Mac

需要分析用户访问的URL和访问URL的时间,其中cache可能含有从Amazon S3下载的文件, Firefox中没有使用Amazon S3的证据。当web浏览器关闭后,相关文件就被删除了。但是可以用EnCase工具进行恢复。

2.2 Dropbox

Dropbox是目前最常用的云服务之一,当用户向同步文件夹中添加文件、编辑文件或删除文件后,Dropbox会自动同步到web端。用户可以用Windows、Mac、iPhone、Android设备来访问云存储服务。

2.2.1 Windows

当Dropbox用于Windows系统时,会创建5个数据库文件,其中config.db和filecache.db含有重要的信息。因为数据库格式为SQLite数据库文件格式,所以很容易识别其中的内容。

首先, config.db (表 6)的主键为recently_changed3,值为最贱编辑、复制、移动和删除的5个文件名。用户最后访问的文件位于列表最上方。文件config.db含有登录的邮箱地址和Dropbox的完整安装路径。即使调查人员不知道用户的ID和password,也可以通过config.db访问云存储。如果调查者从用户的PC中找到了config.db,那么就可以找到dropbox_path路径。然后调查者就可以在自己的电脑上安装Dropbox,并复制config.db到与用户相同的路径下。运行Dropbox后就可以访问云存储服务了。

 图片.png

表 6—config.db.

其次,文件创建和修改的时间,服务器上要同步的文件的名称和路径都存在filecache.db(表 7)中。其中时间的格式为Unix时间。

 图片.png

表 7—filecache.db.

2.2.2 Mac

当Dropbox用于Mac系统时,除了路径外,都与Windows系统类似。

2.3 Evernote

Evernote一个允许用户随时随地访问和保存notes的著名的存储服务。与Dropbox不同,Evernote每次保存一次就同步一次。用户可以通过Windows、Mac、iPhone、Android设备来访问云存储服务。

2.3.1 Windows

当Evernote用于Windows系统时,会创建4个文件夹,其中数据库文件和日志文件因为格式原因很容易被识别。在数据库文件夹中,存在[userID].exb和[userID].exb.thumbnails文件。其中 [userID].exb (表 8)包含note标题、创建和修改的时间、创建的位置、创建时所用的操作系统的类型这样的信息。也可以识别附件名、类型和创建时间等。

00.png

表 8—[userID].exb.

文件[userID].exb.thumbnails是每次同步时对note的截图的融合,如图3所示。通过提取PNG文件的信息,就可以知道note修改的历史。

图片.png

图 3—[userID].exb.thumbnails.

在日志文件中,包含AppLog_[Date].txt (图 4)和enclipper_[Date].txt两个日志文件。在Evernote开始使用后,每天都会产生一个AppLog_[Date].txt文件,文件包含了认证信息、账户ID、应用开启和关闭的时间。enclipper_[Date].txt也是每天创建一个,记录了应用开启的时间。

图片.png

图 4— AppLog_[Date].txt.

2.3.2 Mac

当Evernote用于Mac系统中时,会创建4个文件,分别是Evernote.sql, fullscreenThumbnail.png, thumbnail.png和 Evernote.log。其中Evernote.sql是数据库文件, fullscreenThumbnail.png是note的截图, thumbnail.png含有笔记的内容,Evernote.log是日志文件,等同于Windows系统下的AppLog_[Date].txt。

2.4 Google Docs

Google Docs是基于web的SaaS服务,用户可以在iPhone和Android终端上使用其提供的web应用。文档所有者可以随时设置分享和撤回文件权限,可以上传、下载和编辑文件。这样看的话,这也属于一种云存储服务。虽然Google Docs默认使用SSL,但是仍然会生成临时文件。

2.4.1 Windows

在IE 8.0中,可以创建新的Microsoft Office word/ppt/xls,而且可以浏览和编辑这些类型的文件。在浏览和编辑的时候会创建一些临时文件,如表 9,表 9中的内容可以帮助识别Google Docs产生的附加品。

 图片.png

表 9—Artifacts of Internet Explorer on Windows.

在访问Google Docs时,会创建docs_google_com[n].htm文件,该文件含有一系列Google Docs的文件列表。每天的文件从docs_google_com[1].htm开始。当用户浏览文档或演示的时候,就会创建edit[n].htm文件。edit[n].htm文件含有Microsoft文档和演示的内容,对一个文档来说,只含有内容的一页。当用户浏览Microsoft表格时,会创建ccc[n].htm文件,表格的内容也会保存在ccc[n].htm文件中。当用户浏览pdf文件时,会创建viewer[n].htm, viewer[n].txt和viewer[n].png共三个文件。Pdf文件的标题保存在viewer[n].htm中,元数据和内容保存在viewer[n].txt中,ppt或pdf的每一页都保存在viewer[n].png中。当对文档、PPT或txt进行编辑时,就会创建edit[n].htm文件。当浏览器关掉的时候,临时文件会删除掉,但是可以用EnCase这样的工具进行恢复。

2.4.2 Mac

在Firefox v9.0.1版本中,当新建office文件时,可以进行浏览和编辑操作。根据用户习惯,会创建一些临时文件,如表 10。

图片.png

表 10— Artifacts of Firefox on Mac.

当用户浏览ppt,pptx,pdf文件时,在对应路径下回创建png文件,ppt,pptx,pdf文件的每一页都保存在一个PNG文件中。第一页的内容保存在HTML文件中,当ppt,pptx文件被编辑时,就会创建HTML文件,HTML文件含有docs,id= goog_这样的关键词。HTML文件是通过<body>和</body>之间的<div dir="ltr">签名进行验证的。内容在签名认证之后,一般在<span>和</span>之间或<font>和</font>之间。

当用户关闭浏览器后,对应的临时文件就被删除了,但是可以用EnCase这样的工具进行恢复。

源链接

Hacking more

...