将Flash Cookie用于计算机取证

【51CTO.com独家特稿】由于隐私问题，Flash cookie进来成为一个热点安全话题。不过从另一个角度讲，Flash cookie（即本地共享对象）却是一个很好的法庭证据——因为凡是在个人隐私上有问题的东西，都在取证调查上都很有用。本文首先详细介绍Flash cookie的有关基础知识，然后阐述了它在取证分析中的应用，***给出一个操作Flash cookie的小工具。

一、Flash cookie基础知识

首先，介绍一些Flash cookie方面的基础知识：

◆Flash在互联网上已经非常普及，它不仅提供流式视频，同时还提供富客户端体验。目前，许多流行的站点都依赖于Flash，因此，Flash插件在Internet用户中的安装率极高。 

◆Flash标准的本地共享对象本地共享对象允许在用户电脑上的本地Flash实例中存储数据。 

◆本地共享对象是作为一些单独的文件来存储的，它们的文件扩展名为.SOL。默认时，它们的尺寸为不超过100kB，并且不会过期——这一点与传统的HTTP Cookie不同。 

◆我已经在本地系统上的两处位置发现了.SOL文件，分别是%user profile%\Application Data\Macromedia\Flash Player 和 %user profile%\Application Data\Macromedia\Flash Player\#SharedObjects\\，这里的%user profile%表示用户文件夹目录，在XP 系统上一般为C:\Documents and Settings\\ 。对于Vista系统来说，可能还有留意%user profile%目录下的Roaming文件夹。 

◆本地共享对象并不是基于浏览器的，所以普通的用户不容易删除它们。如果要删掉它们的话，首先要知道这些文件所在的具体位置。这使得本地共享对象能够长时间的保留在本地系统上。

二、取证分析

在进行计算机调查取证时，将本地共享对象描述为Flash cookie是比较恰当的，因为它们提供了类似于传统的HTTP Cookie的各种信息。一般情况下，Flash cookie可以提供下列信息：

已访问过的网站

Flash要求按照域名的体系结构分层存储本地共享对象。这样做能够强制每个域名只能在本地系统上最多存放100k数据。从我们的角度来说，这给调查取证工作打开了一扇迅速检查已访问站点的方便之门。

图1  显示本地共享对象域的目录清单

要注意的是，基于Flash的广告也能够保存本地共享对象，这一点很重要，因为在一些情况下我们要考虑这些站点是不是用户特意去访问的。本地共享对象的来源是非常明显的（参见图2），但是更进一步地测试或者额外的证据可能必须要进行必要的推断。

图2  来自一个Flash广告的本地共享对象

访问站点时所登录的本地用户帐户

我们知道，.SOL文件位于%user profile%文件夹中，而它正好指出了保存该文件时用户所登录的帐户。

访问站点的起止时间

因为.SOL文件是单独存放的，所以我们能够利用文件系统的时间戳来确定该文件的建立和***一次修改时间。在Windows XP 系统上，我们可以使用访问时间来确定最近读取该文件的时间。通过它，我们可以了解最近一次访问该站点的时间，但是我们必须小心，因为我们尚不明了要求站点读取该本地共享对象的标准。但是大部分情况下，每当访问这些站点的时候，它们就会访问它们存放在用户端的本地共享对象；不过，如果由于某种原因站点没有读取该本地共享对象的话，访问时间就不会改变。

SOL文件的创建时间有可能告诉我们***次访问该站点的时间。再一次强调，我们无法保证该在***次访问该站点时必定创建该本地共享对象，所以断定起来有些难度。***的说法应该是已知的最初访问该站点的时间。在系统上的其他证据可能印证这确实是***次访问时间，或者表明还有更早的访问时间。

所以，放回头去在看看图 1，我们可以看到已知的访问mg3.mail.yahoo.com的最早时间是11/27/2008上午1:38，已知的***一次访问时间为8/17/2009下午5:27，这里的时间都是本地计算机时间。

网站存储的数据

Flash试图通过控制格式并迫使所有的数据都存放成二进制序列来对本地共享对象数据进行混淆处理。也就是说，如果您发现了一个相关文件，那么就不要忽视这个数据区域。我也发现有趣的明文消息，例如天气网站存储的基于文本的位置信息。

三、Flash cookie工具

虽然不推荐作为取证工具使用，因为它要求在一个工作的系统上安装运行，但是Better Privacy Firefox扩展用于在本地系统上发现和清除本地共享对象还是非常不错的。了解法庭证据来***手段之一是在一个已经知道其行为的系统上做检查，例如在自己的系统上。插件Better Privacy允许您轻松地查看和管理在一个运行中的系统中的本地共享对象。

图3  Better Privacy插件的截屏

四、小结

由于隐私问题，Flash cookie进来成为一个热点安全话题。不过从另一个角度讲，Flash cookie（即本地共享对象）却是一个很好的法庭证据——因为凡是在个人隐私上有问题的东西，都在取证调查上都很有用。本文首先详细介绍了Flash cookie的有关基础知识，然后阐述了它在取证分析中的应用，***给出了一个操作Flash cookie的小工具。

【51CTO.COM 独家特稿，转载请注明出处及作者！】