网络空间安全概论 实验10 网络浏览器取证实验样例3.docx

实验三网络取证

实验目的

1、学会使用网络取证常用的工具；

2、了解熟悉网络取证所要搜集的信息；

实验内容

1、使用Cookies分析工具；

2、使用上网历史记录分析工具；

3、使用收藏夹工具；

4、使用搜索引擎关键词分析工具；

5、使用网页缓存分析工具；

6、使用网页离线浏览器；

实验步骤

下载相应的工具，解压并且安装相应的软件。打开相应的分析监控工具，查看相应的浏览器信息，历史记录，收藏夹，搜索引擎关键词，网页缓存，网页离线浏览器等。

四、下载WebBrowserToolsPackage进行取证：

使用Cookies分析工具；

Cookie，有时也用其复数形式Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。（简单来说就是：储存在用户本地终端上的数据）

举例来说,一个Web站点可能会为每一个访问者产生一个唯一的ID,然后以Cookie文件的形式保存在每个用户的机器上。如果使用浏览器访问Web,会看到所有保存在硬盘上的Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的Web站点的信息。在这里的每个Cookie文件都是一个简单而又普通的文本文件。透过文件名,就可以看到是哪个Web站点在机器上放置了Cookie(当然站点信息在文件里也有保存)

(1)Name/Value：设置Cookie的名称及相对应的值，对于认证Cookie，Value值包括Web服务器所提供的访问令牌?。

(2)Expires属性：设置Cookie的生存期。有两种存储类型的Cookie：会话性与持久性。Expires属性缺省时，为会话性Cookie，仅保存在客户端内存中，并在用户关闭浏览器时失效；持久性Cookie会保存在用户的硬盘中，直至生存期到或用户直接在网页中单击“注销”等按钮结束会话时才会失效。

(3)Path属性：定义了Web站点上可以访问该Cookie的目录。

(4)Domain属性：指定了可以访问该Cookie的Web站点或域。Cookie机制并未遵循严格的同源策略，允许一个子域可以设置或获取其父域的Cookie。当需要实现单点登录方案时，Cookie的上述特性非常有用，然而也增加了Cookie受攻击的危险，比如攻击者可以借此发动会话定置攻击。因而，浏览器禁止在?Domain?属性中设置.org、.com等通用顶级域名、以及在国家及地区顶级域下注册的二级域名，以减小攻击发生的范围?[3]??。

(5)Secure属性：指定是否使用HTTPS安全协议发送Cookie。使用HTTPS安全协议，可以保护Cookie在浏览器和Web服务器间的传输过程中不被窃取和篡改。该方法也可用于Web站点的身份鉴别，即在HTTPS的连接建立阶段，浏览器会检查Web网站的SSL证书的有效性。但是基于兼容性的原因（比如有些网站使用自签署的证书）在检测到SSL证书无效时，浏览器并不会立即终止用户的连接请求，而是显示安全风险信息，用户仍可以选择继续访问该站点。由于许多用户缺乏安全意识，因而仍可能连接到Pharming攻击所伪造的网站?。

(6)HTTPOnly属性：用于防止客户端脚本通过document.cookie属性访问Cookie，有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是，HTTPOnly的应用仍存在局限性，一些浏览器可以阻止客户端脚本对Cookie的读操作，但允许写操作；此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。

首先使用本机：

对ie浏览器cookie进行取证：

图3.1

图3.2

在文件夹中可以找到该cookie文件：

图3.3

使用虚拟机进行取证：

图3.4

图3.5

可以发现在该cookie记录中仅仅只有访问百度的记录，因为这是刚刚下载的谷歌浏览器。

当然也可以从网页中获取cookie：

设置-开发者工具-Application-cookies

图3.6

上网记录分析工具

利用该工具可以看到我们的上网记录，可以看到该用户习惯于使用谷歌浏览器，且常用搜索内容与学习研究相关。

图3.7

图3.8

3、使用收藏夹工具

图3.9

图3.10

4、使用搜索引擎关键词分析工具：

图3.11

使用网页缓存分析工具；

下图显示的是一些缓存的内容：

图3.12

我们可以点开其中一个查看其内容：

图3.13

查看常用网站

图3.14

查看已存储的数据

图3.15

网页离线浏览器

想要找到网页离线浏览器的