【51CTO.com獨(dú)家特稿】由于隱私問題，F(xiàn)lash cookie進(jìn)來成為一個熱點(diǎn)安全話題。不過從另一個角度講，F(xiàn)lash cookie（即本地共享對象）卻是一個很好的法庭證據(jù)——因?yàn)榉彩窃趥€人隱私上有問題的東西，都在取證調(diào)查上都很有用。本文首先詳細(xì)介紹Flash cookie的有關(guān)基礎(chǔ)知識，然后闡述了它在取證分析中的應(yīng)用，***給出一個操作Flash cookie的小工具。

一、Flash cookie基礎(chǔ)知識

首先，介紹一些Flash cookie方面的基礎(chǔ)知識：

◆Flash在互聯(lián)網(wǎng)上已經(jīng)非常普及，它不僅提供流式視頻，同時還提供富客戶端體驗(yàn)。目前，許多流行的站點(diǎn)都依賴于Flash，因此，F(xiàn)lash插件在Internet用戶中的安裝率極高。 

◆Flash標(biāo)準(zhǔn)的本地共享對象本地共享對象允許在用戶電腦上的本地Flash實(shí)例中存儲數(shù)據(jù)。 

◆本地共享對象是作為一些單獨(dú)的文件來存儲的，它們的文件擴(kuò)展名為.SOL。默認(rèn)時，它們的尺寸為不超過100kB，并且不會過期——這一點(diǎn)與傳統(tǒng)的HTTP Cookie不同。 

◆我已經(jīng)在本地系統(tǒng)上的兩處位置發(fā)現(xiàn)了.SOL文件，分別是%user profile%\Application Data\Macromedia\Flash Player 和 %user profile%\Application Data\Macromedia\Flash Player\#SharedObjects\\，這里的%user profile%表示用戶文件夾目錄，在XP 系統(tǒng)上一般為C:\Documents and Settings\\ 。對于Vista系統(tǒng)來說，可能還有留意%user profile%目錄下的Roaming文件夾。 

◆本地共享對象并不是基于瀏覽器的，所以普通的用戶不容易刪除它們。如果要刪掉它們的話，首先要知道這些文件所在的具體位置。這使得本地共享對象能夠長時間的保留在本地系統(tǒng)上。

二、取證分析

在進(jìn)行計算機(jī)調(diào)查取證時，將本地共享對象描述為Flash cookie是比較恰當(dāng)?shù)?，因?yàn)樗鼈兲峁┝祟愃朴趥鹘y(tǒng)的HTTP Cookie的各種信息。一般情況下，F(xiàn)lash cookie可以提供下列信息：

已訪問過的網(wǎng)站

Flash要求按照域名的體系結(jié)構(gòu)分層存儲本地共享對象。這樣做能夠強(qiáng)制每個域名只能在本地系統(tǒng)上最多存放100k數(shù)據(jù)。從我們的角度來說，這給調(diào)查取證工作打開了一扇迅速檢查已訪問站點(diǎn)的方便之門。

圖1  顯示本地共享對象域的目錄清單

要注意的是，基于Flash的廣告也能夠保存本地共享對象，這一點(diǎn)很重要，因?yàn)樵谝恍┣闆r下我們要考慮這些站點(diǎn)是不是用戶特意去訪問的。本地共享對象的來源是非常明顯的（參見圖2），但是更進(jìn)一步地測試或者額外的證據(jù)可能必須要進(jìn)行必要的推斷。

圖2  來自一個Flash廣告的本地共享對象

訪問站點(diǎn)時所登錄的本地用戶帳戶

我們知道，.SOL文件位于%user profile%文件夾中，而它正好指出了保存該文件時用戶所登錄的帳戶。

訪問站點(diǎn)的起止時間

因?yàn)?SOL文件是單獨(dú)存放的，所以我們能夠利用文件系統(tǒng)的時間戳來確定該文件的建立和***一次修改時間。在Windows XP 系統(tǒng)上，我們可以使用訪問時間來確定最近讀取該文件的時間。通過它，我們可以了解最近一次訪問該站點(diǎn)的時間，但是我們必須小心，因?yàn)槲覀兩胁幻髁艘笳军c(diǎn)讀取該本地共享對象的標(biāo)準(zhǔn)。但是大部分情況下，每當(dāng)訪問這些站點(diǎn)的時候，它們就會訪問它們存放在用戶端的本地共享對象；不過，如果由于某種原因站點(diǎn)沒有讀取該本地共享對象的話，訪問時間就不會改變。

SOL文件的創(chuàng)建時間有可能告訴我們***次訪問該站點(diǎn)的時間。再一次強(qiáng)調(diào)，我們無法保證該在***次訪問該站點(diǎn)時必定創(chuàng)建該本地共享對象，所以斷定起來有些難度。***的說法應(yīng)該是已知的最初訪問該站點(diǎn)的時間。在系統(tǒng)上的其他證據(jù)可能印證這確實(shí)是***次訪問時間，或者表明還有更早的訪問時間。

所以，放回頭去在看看圖 1，我們可以看到已知的訪問mg3.mail.yahoo.com的最早時間是11/27/2008上午1:38，已知的***一次訪問時間為8/17/2009下午5:27，這里的時間都是本地計算機(jī)時間。

網(wǎng)站存儲的數(shù)據(jù)

Flash試圖通過控制格式并迫使所有的數(shù)據(jù)都存放成二進(jìn)制序列來對本地共享對象數(shù)據(jù)進(jìn)行混淆處理。也就是說，如果您發(fā)現(xiàn)了一個相關(guān)文件，那么就不要忽視這個數(shù)據(jù)區(qū)域。我也發(fā)現(xiàn)有趣的明文消息，例如天氣網(wǎng)站存儲的基于文本的位置信息。

三、Flash cookie工具

雖然不推薦作為取證工具使用，因?yàn)樗笤谝粋€工作的系統(tǒng)上安裝運(yùn)行，但是Better Privacy Firefox擴(kuò)展用于在本地系統(tǒng)上發(fā)現(xiàn)和清除本地共享對象還是非常不錯的。了解法庭證據(jù)來***手段之一是在一個已經(jīng)知道其行為的系統(tǒng)上做檢查，例如在自己的系統(tǒng)上。插件Better Privacy允許您輕松地查看和管理在一個運(yùn)行中的系統(tǒng)中的本地共享對象。

圖3  Better Privacy插件的截屏

四、小結(jié)

由于隱私問題，F(xiàn)lash cookie進(jìn)來成為一個熱點(diǎn)安全話題。不過從另一個角度講，F(xiàn)lash cookie（即本地共享對象）卻是一個很好的法庭證據(jù)——因?yàn)榉彩窃趥€人隱私上有問題的東西，都在取證調(diào)查上都很有用。本文首先詳細(xì)介紹了Flash cookie的有關(guān)基礎(chǔ)知識，然后闡述了它在取證分析中的應(yīng)用，***給出了一個操作Flash cookie的小工具。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請注明出處及作者！】