隨著云計算技術(shù)的發(fā)展，越來越多的企業(yè)選擇將數(shù)據(jù)遷移到云上。因為云存儲和其他云服務(wù)的成本低、使用方便等好處，云服務(wù)可能會被惡意用戶濫用，比如使用云服務(wù)發(fā)起DDOS攻擊等。用戶可以通過手機等智能設(shè)備訪問云存儲服務(wù)。所以，云服務(wù)的取證調(diào)查就是非常必要的。本文分析了對Windows、Mac、iPhone、Android手機等設(shè)備使用云服務(wù)的調(diào)查取證。

云服務(wù)可分為三種：SaaS (software as a service), PaaS (platform as a service), and IaaS (infrastructure as a service)

[[216599]]

云數(shù)據(jù)存儲服務(wù)不僅提供對文件等數(shù)據(jù)的存儲，還可以對文件進行編輯。用戶可以通過智能手機來訪問企業(yè)云服務(wù)，達到泄露企業(yè)機密數(shù)據(jù)的目的。

云存儲服務(wù)取證的難點在于使用一次云服務(wù)的時候做了什么。日志文件可以告訴我們登錄用戶的所作所為。但是公司是不愿意提供關(guān)于云服務(wù)器的相關(guān)信息。傳統(tǒng)的調(diào)查取證方法是不適用于云存儲服務(wù)的。需要將使用傳統(tǒng)的調(diào)查取證方法和手機取證方法相結(jié)合。使用云存儲服務(wù)會在本地設(shè)備中留下蹤跡。文章調(diào)查了訪問云存儲的PC和智能手機的活動蹤跡。手機和分析云存儲服務(wù)的方法。

1. 云存儲服務(wù)和數(shù)字取證

云存儲服務(wù)是一種向用戶提供存儲空間的IaaS。云存儲服務(wù)提供的功能越來越多，比如圖像編輯、播放音樂和視頻、郵件發(fā)送等。

云存儲服務(wù)可以通過web瀏覽器和客戶端進行存取和訪問。用戶可以通過智能手機、平板電腦等設(shè)備訪問云存儲服務(wù)。

文中，研究人員選擇了4種云服務(wù)進行對比，分別是Amazon S3, Google Docs, Dropbox,和 Evernote。這4種服務(wù)可以分為三種類型，第一種是提供云存儲服務(wù)的，比如Amazon S3和Dropbox。第二種提供office套件和數(shù)據(jù)存儲服務(wù)，比如Google Docs。第三種提供note存儲和數(shù)據(jù)存儲，比如Evernote。

1.1 云存儲服務(wù)的數(shù)字取證步驟

調(diào)查者需要從可以訪問云存儲服務(wù)的設(shè)備上收集和分析數(shù)據(jù)，本研究的設(shè)備中涵蓋PC和智能手機，這也是使用最廣泛的設(shè)備。對這些設(shè)備的調(diào)查步驟如圖1所示。

對于Windows和Mac系統(tǒng)，調(diào)查者首先要決定是不是可以收集到異常數(shù)據(jù)。如果可以，就收集物理內(nèi)存中的內(nèi)容。然后，手機網(wǎng)頁歷史、日志文件、文件和目錄的數(shù)據(jù)。對于iOS系統(tǒng)，調(diào)查者可以檢查PC上存儲的備份文件，或收集、分析用于iTunes的數(shù)據(jù)。對安卓系統(tǒng)，需要把手機root之后在手機數(shù)據(jù)，root是從安卓設(shè)備中獲取數(shù)據(jù)的必要過程,因為普通權(quán)限無法讀取一些文件和文件夾內(nèi)的數(shù)據(jù)。調(diào)查者分析上面描述的數(shù)據(jù)的過程中，需要檢查云存儲服務(wù)的記錄是否存在以上數(shù)據(jù)中，如果是，調(diào)查者要進一步確認用戶證書信息是不是存在。

云存儲服務(wù)的取證過程

1.2 調(diào)查中的重要因素

1.2.1 瀏覽器日志文件

云存儲服務(wù)是基于web的服務(wù)，所以收集和分析上網(wǎng)歷史數(shù)據(jù)。研究人員可以通過查看IE、Firefox 、Chrome和Safari瀏覽器的文件。Web瀏覽器日志文件存儲在profile目錄中，web瀏覽器日志文件包含緩存、歷史、cookie、和下載的文件。文件存儲路徑如表2、3所示

表2 Firefox中重要文件和存放

表2 IE中重要文件和存放

緩存文件包括下載的圖像文件、文本文件、圖標、HTML、XML、下載的URL、下載次數(shù)和數(shù)據(jù)大小等。歷史文件含有用戶訪問過的URL、web頁的標題、訪問次數(shù)等。Cookie文件存儲的是關(guān)于主機、路徑、cookie修改次數(shù)、cookie到期時間、名字和值等。下載列表包含下載文件的本地路徑、下載的URL、文件大小和下載次數(shù)、是否下載成功等。通過web瀏覽器的這些文件，調(diào)查者可以找出訪問和登錄云存儲服務(wù)的用戶活動。

1.2.2 PC中的客戶端應(yīng)用的Artifacts

為了方便使用，云存儲服務(wù)商會向用戶提供客戶端應(yīng)用?？蛻舳税惭b在Windows系統(tǒng)中的話，記錄就在注冊表、日志文件和數(shù)據(jù)庫文件中。如果安卓在Mac系統(tǒng)中，記錄文件在日志文件和數(shù)據(jù)庫文件中。這些文件含有使用云存儲服務(wù)的記錄。PC上的日志文件創(chuàng)建了一個用戶使用云存儲服務(wù)的時間線。當使用云服務(wù)的時候，就會創(chuàng)建數(shù)據(jù)庫文件來管理用于同步的文件和文件夾。大多數(shù)的數(shù)據(jù)庫文件含有文件夾和文件的名字、創(chuàng)建時間、最后修改時間、是否刪除等。

1.2.3 智能手機中的Artifacts

對于智能手機中的使用記錄，首先應(yīng)該檢查數(shù)據(jù)庫文件、XML文件和Plist文件。同樣的，數(shù)據(jù)庫文件是用來進行同步的，檢查XML文件和plist文件的原因是因為含有用戶賬戶信息。

1.2.4 物理內(nèi)存

物理內(nèi)存中含有關(guān)于用戶的重要信息，比如ID、登錄web瀏覽器所用的密碼。收集的步驟如圖1，而只有當系統(tǒng)在線時，才有可能收集物理內(nèi)存。

2. 云存儲服務(wù)的臨時文件 (Windows and Mac)

 圖4是本研究中研究的云存儲服務(wù)和應(yīng)用版本。

  本文研究的服務(wù)細節(jié) (Windows, Mac, 和智能手機應(yīng)用)

2.1 Amazon S3

Amazon S3是基于web的云存儲服務(wù)，并且提供不同的API。許多云存儲服務(wù)都是基于API建立的。比如Dropbox用Amazon S3的API來進行數(shù)據(jù)存儲。用戶可以用Windows、Mac、iPhone、安卓智能手機登進行文件的上傳、下載、打開、刪除。雖然Amazon S3默認使用的是SSL，但是仍然創(chuàng)建了臨時文件。

2.1.1 Windows

Bucket logging默認是關(guān)閉的，如果用戶開啟，那么日志文件就叫做bucket log桶日志。當用戶下載、打開一個Amazon S3上的office文件，會創(chuàng)建一個名為s3.amazonaws.com.lnk的文件。當用戶瀏覽桶日志文件時，會在另一個路徑下創(chuàng)建一個名為Log file name[n].txt的文件。

表 5  Artifacts of Firefox on Windows.

如果用戶打開IE中的桶日志，會創(chuàng)建一個臨時文件，圖2是一個例子。文件的第一個和第二個域是用戶的ID和bucket name，第三個域是用戶執(zhí)行操作的時間。第7個域描述了用戶的操作，第8個域是用戶操作的文件名，最后一個域是HTTP 用戶代理值。

圖2—Bucket Log File.

2.1.2 Mac

需要分析用戶訪問的URL和訪問URL的時間，其中cache可能含有從Amazon S3下載的文件， Firefox中沒有使用Amazon S3的證據(jù)。當web瀏覽器關(guān)閉后，相關(guān)文件就被刪除了。但是可以用EnCase工具進行恢復(fù)。

2.2 Dropbox

Dropbox是目前最常用的云服務(wù)之一，當用戶向同步文件夾中添加文件、編輯文件或刪除文件后，Dropbox會自動同步到web端。用戶可以用Windows、Mac、iPhone、Android設(shè)備來訪問云存儲服務(wù)。

2.2.1 Windows

當Dropbox用于Windows系統(tǒng)時，會創(chuàng)建5個數(shù)據(jù)庫文件，其中config.db和filecache.db含有重要的信息。因為數(shù)據(jù)庫格式為SQLite數(shù)據(jù)庫文件格式，所以很容易識別其中的內(nèi)容。

首先， config.db (表 6)的主鍵為recently_changed3，值為最賤編輯、復(fù)制、移動和刪除的5個文件名。用戶最后訪問的文件位于列表最上方。文件config.db含有登錄的郵箱地址和Dropbox的完整安裝路徑。即使調(diào)查人員不知道用戶的ID和password，也可以通過config.db訪問云存儲。如果調(diào)查者從用戶的PC中找到了config.db，那么就可以找到dropbox_path路徑。然后調(diào)查者就可以在自己的電腦上安裝Dropbox，并復(fù)制config.db到與用戶相同的路徑下。運行Dropbox后就可以訪問云存儲服務(wù)了。

表 6—config.db.

其次，文件創(chuàng)建和修改的時間，服務(wù)器上要同步的文件的名稱和路徑都存在filecache.db（表 7）中。其中時間的格式為Unix時間。

表 7—filecache.db.

2.2.2 Mac

當Dropbox用于Mac系統(tǒng)時，除了路徑外，都與Windows系統(tǒng)類似。

2.3 Evernote

Evernote一個允許用戶隨時隨地訪問和保存notes的著名的存儲服務(wù)。與Dropbox不同，Evernote每次保存一次就同步一次。用戶可以通過Windows、Mac、iPhone、Android設(shè)備來訪問云存儲服務(wù)。

2.3.1 Windows

當Evernote用于Windows系統(tǒng)時，會創(chuàng)建4個文件夾，其中數(shù)據(jù)庫文件和日志文件因為格式原因很容易被識別。在數(shù)據(jù)庫文件夾中，存在[userID].exb和[userID].exb.thumbnails文件。其中 [userID].exb (表 8)包含note標題、創(chuàng)建和修改的時間、創(chuàng)建的位置、創(chuàng)建時所用的操作系統(tǒng)的類型這樣的信息。也可以識別附件名、類型和創(chuàng)建時間等。

表 8—[userID].exb.

文件[userID].exb.thumbnails是每次同步時對note的截圖的融合，如圖3所示。通過提取PNG文件的信息，就可以知道note修改的歷史。

圖 3—[userID].exb.thumbnails.

在日志文件中，包含AppLog_[Date].txt (圖 4)和enclipper_[Date].txt兩個日志文件。在Evernote開始使用后，每天都會產(chǎn)生一個AppLog_[Date].txt文件，文件包含了認證信息、賬戶ID、應(yīng)用開啟和關(guān)閉的時間。enclipper_[Date].txt也是每天創(chuàng)建一個，記錄了應(yīng)用開啟的時間。

圖 4— AppLog_[Date].txt.

2.3.2 Mac

當Evernote用于Mac系統(tǒng)中時，會創(chuàng)建4個文件，分別是Evernote.sql, fullscreenThumbnail.png, thumbnail.png和 Evernote.log。其中Evernote.sql是數(shù)據(jù)庫文件， fullscreenThumbnail.png是note的截圖， thumbnail.png含有筆記的內(nèi)容，Evernote.log是日志文件，等同于Windows系統(tǒng)下的AppLog_[Date].txt。

2.4 Google Docs

Google Docs是基于web的SaaS服務(wù)，用戶可以在iPhone和Android終端上使用其提供的web應(yīng)用。文檔所有者可以隨時設(shè)置分享和撤回文件權(quán)限，可以上傳、下載和編輯文件。這樣看的話，這也屬于一種云存儲服務(wù)。雖然Google Docs默認使用SSL，但是仍然會生成臨時文件。

2.4.1 Windows

在IE 8.0中，可以創(chuàng)建新的Microsoft Office word/ppt/xls，而且可以瀏覽和編輯這些類型的文件。在瀏覽和編輯的時候會創(chuàng)建一些臨時文件，如表 9，表 9中的內(nèi)容可以幫助識別Google Docs產(chǎn)生的附加品。

表 9—Artifacts of Internet Explorer on Windows.

在訪問Google Docs時，會創(chuàng)建docs_google_com[n].htm文件，該文件含有一系列Google Docs的文件列表。每天的文件從docs_google_com[1].htm開始。當用戶瀏覽文檔或演示的時候，就會創(chuàng)建edit[n].htm文件。edit[n].htm文件含有Microsoft文檔和演示的內(nèi)容，對一個文檔來說，只含有內(nèi)容的一頁。當用戶瀏覽Microsoft表格時，會創(chuàng)建ccc[n].htm文件，表格的內(nèi)容也會保存在ccc[n].htm文件中。當用戶瀏覽pdf文件時，會創(chuàng)建viewer[n].htm, viewer[n].txt和viewer[n].png共三個文件。Pdf文件的標題保存在viewer[n].htm中，元數(shù)據(jù)和內(nèi)容保存在viewer[n].txt中，ppt或pdf的每一頁都保存在viewer[n].png中。當對文檔、PPT或txt進行編輯時，就會創(chuàng)建edit[n].htm文件。當瀏覽器關(guān)掉的時候，臨時文件會刪除掉，但是可以用EnCase這樣的工具進行恢復(fù)。

2.4.2 Mac

在Firefox v9.0.1版本中，當新建office文件時，可以進行瀏覽和編輯操作。根據(jù)用戶習(xí)慣，會創(chuàng)建一些臨時文件，如表 10。

表 10— Artifacts of Firefox on Mac.

當用戶瀏覽ppt，pptx，pdf文件時，在對應(yīng)路徑下回創(chuàng)建png文件，ppt，pptx，pdf文件的每一頁都保存在一個PNG文件中。第一頁的內(nèi)容保存在HTML文件中，當ppt，pptx文件被編輯時，就會創(chuàng)建HTML文件，HTML文件含有docs，id= goog_這樣的關(guān)鍵詞。HTML文件是通過<body>和</body>之間的<div dir="ltr">簽名進行驗證的。內(nèi)容在簽名認證之后，一般在<span>和</span>之間或<font>和</font>之間。

當用戶關(guān)閉瀏覽器后，對應(yīng)的臨時文件就被刪除了，但是可以用EnCase這樣的工具進行恢復(fù)。