隨著云計(jì)算技術(shù)的發(fā)展，越來越多的企業(yè)選擇將數(shù)據(jù)遷移到云上。因?yàn)樵拼鎯?chǔ)和其他云服務(wù)的成本低、使用方便等好處，云服務(wù)可能會(huì)被惡意用戶濫用，比如使用云服務(wù)發(fā)起DDOS攻擊等。用戶可以通過手機(jī)等智能設(shè)備訪問云存儲(chǔ)服務(wù)。所以，云服務(wù)的取證調(diào)查就是非常必要的。本文分析了對(duì)Windows、Mac、iPhone、Android手機(jī)等設(shè)備使用云服務(wù)的調(diào)查取證。

云服務(wù)可分為三種：SaaS (software as a service), PaaS (platform as a service), and IaaS (infrastructure as a service)

[[216599]]

云數(shù)據(jù)存儲(chǔ)服務(wù)不僅提供對(duì)文件等數(shù)據(jù)的存儲(chǔ)，還可以對(duì)文件進(jìn)行編輯。用戶可以通過智能手機(jī)來訪問企業(yè)云服務(wù)，達(dá)到泄露企業(yè)機(jī)密數(shù)據(jù)的目的。

云存儲(chǔ)服務(wù)取證的難點(diǎn)在于使用一次云服務(wù)的時(shí)候做了什么。日志文件可以告訴我們登錄用戶的所作所為。但是公司是不愿意提供關(guān)于云服務(wù)器的相關(guān)信息。傳統(tǒng)的調(diào)查取證方法是不適用于云存儲(chǔ)服務(wù)的。需要將使用傳統(tǒng)的調(diào)查取證方法和手機(jī)取證方法相結(jié)合。使用云存儲(chǔ)服務(wù)會(huì)在本地設(shè)備中留下蹤跡。文章調(diào)查了訪問云存儲(chǔ)的PC和智能手機(jī)的活動(dòng)蹤跡。手機(jī)和分析云存儲(chǔ)服務(wù)的方法。

1. 云存儲(chǔ)服務(wù)和數(shù)字取證

云存儲(chǔ)服務(wù)是一種向用戶提供存儲(chǔ)空間的IaaS。云存儲(chǔ)服務(wù)提供的功能越來越多，比如圖像編輯、播放音樂和視頻、郵件發(fā)送等。

云存儲(chǔ)服務(wù)可以通過web瀏覽器和客戶端進(jìn)行存取和訪問。用戶可以通過智能手機(jī)、平板電腦等設(shè)備訪問云存儲(chǔ)服務(wù)。

文中，研究人員選擇了4種云服務(wù)進(jìn)行對(duì)比，分別是Amazon S3, Google Docs, Dropbox,和 Evernote。這4種服務(wù)可以分為三種類型，第一種是提供云存儲(chǔ)服務(wù)的，比如Amazon S3和Dropbox。第二種提供office套件和數(shù)據(jù)存儲(chǔ)服務(wù)，比如Google Docs。第三種提供note存儲(chǔ)和數(shù)據(jù)存儲(chǔ)，比如Evernote。

1.1 云存儲(chǔ)服務(wù)的數(shù)字取證步驟

調(diào)查者需要從可以訪問云存儲(chǔ)服務(wù)的設(shè)備上收集和分析數(shù)據(jù)，本研究的設(shè)備中涵蓋PC和智能手機(jī)，這也是使用最廣泛的設(shè)備。對(duì)這些設(shè)備的調(diào)查步驟如圖1所示。

對(duì)于Windows和Mac系統(tǒng)，調(diào)查者首先要決定是不是可以收集到異常數(shù)據(jù)。如果可以，就收集物理內(nèi)存中的內(nèi)容。然后，手機(jī)網(wǎng)頁歷史、日志文件、文件和目錄的數(shù)據(jù)。對(duì)于iOS系統(tǒng)，調(diào)查者可以檢查PC上存儲(chǔ)的備份文件，或收集、分析用于iTunes的數(shù)據(jù)。對(duì)安卓系統(tǒng)，需要把手機(jī)root之后在手機(jī)數(shù)據(jù)，root是從安卓設(shè)備中獲取數(shù)據(jù)的必要過程,因?yàn)槠胀?quán)限無法讀取一些文件和文件夾內(nèi)的數(shù)據(jù)。調(diào)查者分析上面描述的數(shù)據(jù)的過程中，需要檢查云存儲(chǔ)服務(wù)的記錄是否存在以上數(shù)據(jù)中，如果是，調(diào)查者要進(jìn)一步確認(rèn)用戶證書信息是不是存在。

云存儲(chǔ)服務(wù)的取證過程

1.2 調(diào)查中的重要因素

1.2.1 瀏覽器日志文件

云存儲(chǔ)服務(wù)是基于web的服務(wù)，所以收集和分析上網(wǎng)歷史數(shù)據(jù)。研究人員可以通過查看IE、Firefox 、Chrome和Safari瀏覽器的文件。Web瀏覽器日志文件存儲(chǔ)在profile目錄中，web瀏覽器日志文件包含緩存、歷史、cookie、和下載的文件。文件存儲(chǔ)路徑如表2、3所示

表2 Firefox中重要文件和存放

表2 IE中重要文件和存放

緩存文件包括下載的圖像文件、文本文件、圖標(biāo)、HTML、XML、下載的URL、下載次數(shù)和數(shù)據(jù)大小等。歷史文件含有用戶訪問過的URL、web頁的標(biāo)題、訪問次數(shù)等。Cookie文件存儲(chǔ)的是關(guān)于主機(jī)、路徑、cookie修改次數(shù)、cookie到期時(shí)間、名字和值等。下載列表包含下載文件的本地路徑、下載的URL、文件大小和下載次數(shù)、是否下載成功等。通過web瀏覽器的這些文件，調(diào)查者可以找出訪問和登錄云存儲(chǔ)服務(wù)的用戶活動(dòng)。

1.2.2 PC中的客戶端應(yīng)用的Artifacts

為了方便使用，云存儲(chǔ)服務(wù)商會(huì)向用戶提供客戶端應(yīng)用。客戶端安裝在Windows系統(tǒng)中的話，記錄就在注冊(cè)表、日志文件和數(shù)據(jù)庫文件中。如果安卓在Mac系統(tǒng)中，記錄文件在日志文件和數(shù)據(jù)庫文件中。這些文件含有使用云存儲(chǔ)服務(wù)的記錄。PC上的日志文件創(chuàng)建了一個(gè)用戶使用云存儲(chǔ)服務(wù)的時(shí)間線。當(dāng)使用云服務(wù)的時(shí)候，就會(huì)創(chuàng)建數(shù)據(jù)庫文件來管理用于同步的文件和文件夾。大多數(shù)的數(shù)據(jù)庫文件含有文件夾和文件的名字、創(chuàng)建時(shí)間、最后修改時(shí)間、是否刪除等。

1.2.3 智能手機(jī)中的Artifacts

對(duì)于智能手機(jī)中的使用記錄，首先應(yīng)該檢查數(shù)據(jù)庫文件、XML文件和Plist文件。同樣的，數(shù)據(jù)庫文件是用來進(jìn)行同步的，檢查XML文件和plist文件的原因是因?yàn)楹杏脩糍~戶信息。

1.2.4 物理內(nèi)存

物理內(nèi)存中含有關(guān)于用戶的重要信息，比如ID、登錄web瀏覽器所用的密碼。收集的步驟如圖1，而只有當(dāng)系統(tǒng)在線時(shí)，才有可能收集物理內(nèi)存。

2. 云存儲(chǔ)服務(wù)的臨時(shí)文件 (Windows and Mac)

 圖4是本研究中研究的云存儲(chǔ)服務(wù)和應(yīng)用版本。

  本文研究的服務(wù)細(xì)節(jié) (Windows, Mac, 和智能手機(jī)應(yīng)用)

2.1 Amazon S3

Amazon S3是基于web的云存儲(chǔ)服務(wù)，并且提供不同的API。許多云存儲(chǔ)服務(wù)都是基于API建立的。比如Dropbox用Amazon S3的API來進(jìn)行數(shù)據(jù)存儲(chǔ)。用戶可以用Windows、Mac、iPhone、安卓智能手機(jī)登進(jìn)行文件的上傳、下載、打開、刪除。雖然Amazon S3默認(rèn)使用的是SSL，但是仍然創(chuàng)建了臨時(shí)文件。

2.1.1 Windows

Bucket logging默認(rèn)是關(guān)閉的，如果用戶開啟，那么日志文件就叫做bucket log桶日志。當(dāng)用戶下載、打開一個(gè)Amazon S3上的office文件，會(huì)創(chuàng)建一個(gè)名為s3.amazonaws.com.lnk的文件。當(dāng)用戶瀏覽桶日志文件時(shí)，會(huì)在另一個(gè)路徑下創(chuàng)建一個(gè)名為Log file name[n].txt的文件。

表 5  Artifacts of Firefox on Windows.

如果用戶打開IE中的桶日志，會(huì)創(chuàng)建一個(gè)臨時(shí)文件，圖2是一個(gè)例子。文件的第一個(gè)和第二個(gè)域是用戶的ID和bucket name，第三個(gè)域是用戶執(zhí)行操作的時(shí)間。第7個(gè)域描述了用戶的操作，第8個(gè)域是用戶操作的文件名，最后一個(gè)域是HTTP 用戶代理值。

圖2—Bucket Log File.

2.1.2 Mac

需要分析用戶訪問的URL和訪問URL的時(shí)間，其中cache可能含有從Amazon S3下載的文件， Firefox中沒有使用Amazon S3的證據(jù)。當(dāng)web瀏覽器關(guān)閉后，相關(guān)文件就被刪除了。但是可以用EnCase工具進(jìn)行恢復(fù)。

2.2 Dropbox

Dropbox是目前最常用的云服務(wù)之一，當(dāng)用戶向同步文件夾中添加文件、編輯文件或刪除文件后，Dropbox會(huì)自動(dòng)同步到web端。用戶可以用Windows、Mac、iPhone、Android設(shè)備來訪問云存儲(chǔ)服務(wù)。

2.2.1 Windows

當(dāng)Dropbox用于Windows系統(tǒng)時(shí)，會(huì)創(chuàng)建5個(gè)數(shù)據(jù)庫文件，其中config.db和filecache.db含有重要的信息。因?yàn)閿?shù)據(jù)庫格式為SQLite數(shù)據(jù)庫文件格式，所以很容易識(shí)別其中的內(nèi)容。

首先， config.db (表 6)的主鍵為recently_changed3，值為最賤編輯、復(fù)制、移動(dòng)和刪除的5個(gè)文件名。用戶最后訪問的文件位于列表最上方。文件config.db含有登錄的郵箱地址和Dropbox的完整安裝路徑。即使調(diào)查人員不知道用戶的ID和password，也可以通過config.db訪問云存儲(chǔ)。如果調(diào)查者從用戶的PC中找到了config.db，那么就可以找到dropbox_path路徑。然后調(diào)查者就可以在自己的電腦上安裝Dropbox，并復(fù)制config.db到與用戶相同的路徑下。運(yùn)行Dropbox后就可以訪問云存儲(chǔ)服務(wù)了。

表 6—config.db.

其次，文件創(chuàng)建和修改的時(shí)間，服務(wù)器上要同步的文件的名稱和路徑都存在filecache.db（表 7）中。其中時(shí)間的格式為Unix時(shí)間。

表 7—filecache.db.

2.2.2 Mac

當(dāng)Dropbox用于Mac系統(tǒng)時(shí)，除了路徑外，都與Windows系統(tǒng)類似。

2.3 Evernote

Evernote一個(gè)允許用戶隨時(shí)隨地訪問和保存notes的著名的存儲(chǔ)服務(wù)。與Dropbox不同，Evernote每次保存一次就同步一次。用戶可以通過Windows、Mac、iPhone、Android設(shè)備來訪問云存儲(chǔ)服務(wù)。

2.3.1 Windows

當(dāng)Evernote用于Windows系統(tǒng)時(shí)，會(huì)創(chuàng)建4個(gè)文件夾，其中數(shù)據(jù)庫文件和日志文件因?yàn)楦袷皆蚝苋菀妆蛔R(shí)別。在數(shù)據(jù)庫文件夾中，存在[userID].exb和[userID].exb.thumbnails文件。其中 [userID].exb (表 8)包含note標(biāo)題、創(chuàng)建和修改的時(shí)間、創(chuàng)建的位置、創(chuàng)建時(shí)所用的操作系統(tǒng)的類型這樣的信息。也可以識(shí)別附件名、類型和創(chuàng)建時(shí)間等。

表 8—[userID].exb.

文件[userID].exb.thumbnails是每次同步時(shí)對(duì)note的截圖的融合，如圖3所示。通過提取PNG文件的信息，就可以知道note修改的歷史。

圖 3—[userID].exb.thumbnails.

在日志文件中，包含AppLog_[Date].txt (圖 4)和enclipper_[Date].txt兩個(gè)日志文件。在Evernote開始使用后，每天都會(huì)產(chǎn)生一個(gè)AppLog_[Date].txt文件，文件包含了認(rèn)證信息、賬戶ID、應(yīng)用開啟和關(guān)閉的時(shí)間。enclipper_[Date].txt也是每天創(chuàng)建一個(gè)，記錄了應(yīng)用開啟的時(shí)間。

圖 4— AppLog_[Date].txt.

2.3.2 Mac

當(dāng)Evernote用于Mac系統(tǒng)中時(shí)，會(huì)創(chuàng)建4個(gè)文件，分別是Evernote.sql, fullscreenThumbnail.png, thumbnail.png和 Evernote.log。其中Evernote.sql是數(shù)據(jù)庫文件， fullscreenThumbnail.png是note的截圖， thumbnail.png含有筆記的內(nèi)容，Evernote.log是日志文件，等同于Windows系統(tǒng)下的AppLog_[Date].txt。

2.4 Google Docs

Google Docs是基于web的SaaS服務(wù)，用戶可以在iPhone和Android終端上使用其提供的web應(yīng)用。文檔所有者可以隨時(shí)設(shè)置分享和撤回文件權(quán)限，可以上傳、下載和編輯文件。這樣看的話，這也屬于一種云存儲(chǔ)服務(wù)。雖然Google Docs默認(rèn)使用SSL，但是仍然會(huì)生成臨時(shí)文件。

2.4.1 Windows

在IE 8.0中，可以創(chuàng)建新的Microsoft Office word/ppt/xls，而且可以瀏覽和編輯這些類型的文件。在瀏覽和編輯的時(shí)候會(huì)創(chuàng)建一些臨時(shí)文件，如表 9，表 9中的內(nèi)容可以幫助識(shí)別Google Docs產(chǎn)生的附加品。

表 9—Artifacts of Internet Explorer on Windows.

在訪問Google Docs時(shí)，會(huì)創(chuàng)建docs_google_com[n].htm文件，該文件含有一系列Google Docs的文件列表。每天的文件從docs_google_com[1].htm開始。當(dāng)用戶瀏覽文檔或演示的時(shí)候，就會(huì)創(chuàng)建edit[n].htm文件。edit[n].htm文件含有Microsoft文檔和演示的內(nèi)容，對(duì)一個(gè)文檔來說，只含有內(nèi)容的一頁。當(dāng)用戶瀏覽Microsoft表格時(shí)，會(huì)創(chuàng)建ccc[n].htm文件，表格的內(nèi)容也會(huì)保存在ccc[n].htm文件中。當(dāng)用戶瀏覽pdf文件時(shí)，會(huì)創(chuàng)建viewer[n].htm, viewer[n].txt和viewer[n].png共三個(gè)文件。Pdf文件的標(biāo)題保存在viewer[n].htm中，元數(shù)據(jù)和內(nèi)容保存在viewer[n].txt中，ppt或pdf的每一頁都保存在viewer[n].png中。當(dāng)對(duì)文檔、PPT或txt進(jìn)行編輯時(shí)，就會(huì)創(chuàng)建edit[n].htm文件。當(dāng)瀏覽器關(guān)掉的時(shí)候，臨時(shí)文件會(huì)刪除掉，但是可以用EnCase這樣的工具進(jìn)行恢復(fù)。

2.4.2 Mac

在Firefox v9.0.1版本中，當(dāng)新建office文件時(shí)，可以進(jìn)行瀏覽和編輯操作。根據(jù)用戶習(xí)慣，會(huì)創(chuàng)建一些臨時(shí)文件，如表 10。

表 10— Artifacts of Firefox on Mac.

當(dāng)用戶瀏覽ppt，pptx，pdf文件時(shí)，在對(duì)應(yīng)路徑下回創(chuàng)建png文件，ppt，pptx，pdf文件的每一頁都保存在一個(gè)PNG文件中。第一頁的內(nèi)容保存在HTML文件中，當(dāng)ppt，pptx文件被編輯時(shí)，就會(huì)創(chuàng)建HTML文件，HTML文件含有docs，id= goog_這樣的關(guān)鍵詞。HTML文件是通過<body>和</body>之間的<div dir="ltr">簽名進(jìn)行驗(yàn)證的。內(nèi)容在簽名認(rèn)證之后，一般在<span>和</span>之間或<font>和</font>之間。

當(dāng)用戶關(guān)閉瀏覽器后，對(duì)應(yīng)的臨時(shí)文件就被刪除了，但是可以用EnCase這樣的工具進(jìn)行恢復(fù)。