【51CTO.com獨(dú)家特稿】由于隱私問(wèn)題，F(xiàn)lash cookie進(jìn)來(lái)成為一個(gè)熱點(diǎn)安全話(huà)題。不過(guò)從另一個(gè)角度講，F(xiàn)lash cookie（即本地共享對(duì)象）卻是一個(gè)很好的法庭證據(jù)——因?yàn)榉彩窃趥€(gè)人隱私上有問(wèn)題的東西，都在取證調(diào)查上都很有用。本文首先詳細(xì)介紹Flash cookie的有關(guān)基礎(chǔ)知識(shí)，然后闡述了它在取證分析中的應(yīng)用，***給出一個(gè)操作Flash cookie的小工具。

一、Flash cookie基礎(chǔ)知識(shí)

首先，介紹一些Flash cookie方面的基礎(chǔ)知識(shí)：

◆Flash在互聯(lián)網(wǎng)上已經(jīng)非常普及，它不僅提供流式視頻，同時(shí)還提供富客戶(hù)端體驗(yàn)。目前，許多流行的站點(diǎn)都依賴(lài)于Flash，因此，F(xiàn)lash插件在Internet用戶(hù)中的安裝率極高。 

◆Flash標(biāo)準(zhǔn)的本地共享對(duì)象本地共享對(duì)象允許在用戶(hù)電腦上的本地Flash實(shí)例中存儲(chǔ)數(shù)據(jù)。 

◆本地共享對(duì)象是作為一些單獨(dú)的文件來(lái)存儲(chǔ)的，它們的文件擴(kuò)展名為.SOL。默認(rèn)時(shí)，它們的尺寸為不超過(guò)100kB，并且不會(huì)過(guò)期——這一點(diǎn)與傳統(tǒng)的HTTP Cookie不同。 

◆我已經(jīng)在本地系統(tǒng)上的兩處位置發(fā)現(xiàn)了.SOL文件，分別是%user profile%\Application Data\Macromedia\Flash Player 和 %user profile%\Application Data\Macromedia\Flash Player\#SharedObjects\\，這里的%user profile%表示用戶(hù)文件夾目錄，在XP 系統(tǒng)上一般為C:\Documents and Settings\\ 。對(duì)于Vista系統(tǒng)來(lái)說(shuō)，可能還有留意%user profile%目錄下的Roaming文件夾。 

◆本地共享對(duì)象并不是基于瀏覽器的，所以普通的用戶(hù)不容易刪除它們。如果要?jiǎng)h掉它們的話(huà)，首先要知道這些文件所在的具體位置。這使得本地共享對(duì)象能夠長(zhǎng)時(shí)間的保留在本地系統(tǒng)上。

二、取證分析

在進(jìn)行計(jì)算機(jī)調(diào)查取證時(shí)，將本地共享對(duì)象描述為Flash cookie是比較恰當(dāng)?shù)?，因?yàn)樗鼈兲峁┝祟?lèi)似于傳統(tǒng)的HTTP Cookie的各種信息。一般情況下，F(xiàn)lash cookie可以提供下列信息：

已訪(fǎng)問(wèn)過(guò)的網(wǎng)站

Flash要求按照域名的體系結(jié)構(gòu)分層存儲(chǔ)本地共享對(duì)象。這樣做能夠強(qiáng)制每個(gè)域名只能在本地系統(tǒng)上最多存放100k數(shù)據(jù)。從我們的角度來(lái)說(shuō)，這給調(diào)查取證工作打開(kāi)了一扇迅速檢查已訪(fǎng)問(wèn)站點(diǎn)的方便之門(mén)。

圖1  顯示本地共享對(duì)象域的目錄清單

要注意的是，基于Flash的廣告也能夠保存本地共享對(duì)象，這一點(diǎn)很重要，因?yàn)樵谝恍┣闆r下我們要考慮這些站點(diǎn)是不是用戶(hù)特意去訪(fǎng)問(wèn)的。本地共享對(duì)象的來(lái)源是非常明顯的（參見(jiàn)圖2），但是更進(jìn)一步地測(cè)試或者額外的證據(jù)可能必須要進(jìn)行必要的推斷。

圖2  來(lái)自一個(gè)Flash廣告的本地共享對(duì)象

訪(fǎng)問(wèn)站點(diǎn)時(shí)所登錄的本地用戶(hù)帳戶(hù)

我們知道，.SOL文件位于%user profile%文件夾中，而它正好指出了保存該文件時(shí)用戶(hù)所登錄的帳戶(hù)。

訪(fǎng)問(wèn)站點(diǎn)的起止時(shí)間

因?yàn)?SOL文件是單獨(dú)存放的，所以我們能夠利用文件系統(tǒng)的時(shí)間戳來(lái)確定該文件的建立和***一次修改時(shí)間。在Windows XP 系統(tǒng)上，我們可以使用訪(fǎng)問(wèn)時(shí)間來(lái)確定最近讀取該文件的時(shí)間。通過(guò)它，我們可以了解最近一次訪(fǎng)問(wèn)該站點(diǎn)的時(shí)間，但是我們必須小心，因?yàn)槲覀兩胁幻髁艘笳军c(diǎn)讀取該本地共享對(duì)象的標(biāo)準(zhǔn)。但是大部分情況下，每當(dāng)訪(fǎng)問(wèn)這些站點(diǎn)的時(shí)候，它們就會(huì)訪(fǎng)問(wèn)它們存放在用戶(hù)端的本地共享對(duì)象；不過(guò)，如果由于某種原因站點(diǎn)沒(méi)有讀取該本地共享對(duì)象的話(huà)，訪(fǎng)問(wèn)時(shí)間就不會(huì)改變。

SOL文件的創(chuàng)建時(shí)間有可能告訴我們***次訪(fǎng)問(wèn)該站點(diǎn)的時(shí)間。再一次強(qiáng)調(diào)，我們無(wú)法保證該在***次訪(fǎng)問(wèn)該站點(diǎn)時(shí)必定創(chuàng)建該本地共享對(duì)象，所以斷定起來(lái)有些難度。***的說(shuō)法應(yīng)該是已知的最初訪(fǎng)問(wèn)該站點(diǎn)的時(shí)間。在系統(tǒng)上的其他證據(jù)可能印證這確實(shí)是***次訪(fǎng)問(wèn)時(shí)間，或者表明還有更早的訪(fǎng)問(wèn)時(shí)間。

所以，放回頭去在看看圖 1，我們可以看到已知的訪(fǎng)問(wèn)mg3.mail.yahoo.com的最早時(shí)間是11/27/2008上午1:38，已知的***一次訪(fǎng)問(wèn)時(shí)間為8/17/2009下午5:27，這里的時(shí)間都是本地計(jì)算機(jī)時(shí)間。

網(wǎng)站存儲(chǔ)的數(shù)據(jù)

Flash試圖通過(guò)控制格式并迫使所有的數(shù)據(jù)都存放成二進(jìn)制序列來(lái)對(duì)本地共享對(duì)象數(shù)據(jù)進(jìn)行混淆處理。也就是說(shuō)，如果您發(fā)現(xiàn)了一個(gè)相關(guān)文件，那么就不要忽視這個(gè)數(shù)據(jù)區(qū)域。我也發(fā)現(xiàn)有趣的明文消息，例如天氣網(wǎng)站存儲(chǔ)的基于文本的位置信息。

三、Flash cookie工具

雖然不推薦作為取證工具使用，因?yàn)樗笤谝粋€(gè)工作的系統(tǒng)上安裝運(yùn)行，但是Better Privacy Firefox擴(kuò)展用于在本地系統(tǒng)上發(fā)現(xiàn)和清除本地共享對(duì)象還是非常不錯(cuò)的。了解法庭證據(jù)來(lái)***手段之一是在一個(gè)已經(jīng)知道其行為的系統(tǒng)上做檢查，例如在自己的系統(tǒng)上。插件Better Privacy允許您輕松地查看和管理在一個(gè)運(yùn)行中的系統(tǒng)中的本地共享對(duì)象。

圖3  Better Privacy插件的截屏

四、小結(jié)

由于隱私問(wèn)題，F(xiàn)lash cookie進(jìn)來(lái)成為一個(gè)熱點(diǎn)安全話(huà)題。不過(guò)從另一個(gè)角度講，F(xiàn)lash cookie（即本地共享對(duì)象）卻是一個(gè)很好的法庭證據(jù)——因?yàn)榉彩窃趥€(gè)人隱私上有問(wèn)題的東西，都在取證調(diào)查上都很有用。本文首先詳細(xì)介紹了Flash cookie的有關(guān)基礎(chǔ)知識(shí)，然后闡述了它在取證分析中的應(yīng)用，***給出了一個(gè)操作Flash cookie的小工具。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】