Microsoft Edge浏览器的取证分析(基于Chromium)

发布于:2025-03-22 ⋅ 阅读:(41) ⋅ 点赞:(0)

概述

早在2019年,微软就用Chromium替换了EdgeHTML浏览器引擎这是微软支持谷歌Chrome浏览器的一个开源项目。通过切换到Chromium,Edge与Chrome浏览器共享一个共同的架构,这意味着用于Chrome浏览器调查的取证技术也适用于Edge。

微软不仅在使用Chromium,而且还在积极推动Chromium的开发。这意味着,只要微软继续向Chromium项目提交修改,而不是针对Edge进行修改,那么为Chrome浏览器开发的取证工具就能在Edge上无缝运行。

就连Edge和Chrome浏览器也几乎完全相同。微软推出了一些独特的功能。其中最吸引人的是IE模式,它允许用户使用传统的Internet Explorer引擎打开标签页。该功能主要针对仍然依赖旧版网络应用程序的企业。

Edge保持与Chrome浏览器相同的文件夹结构。使现有的Chrome浏览器取证方法能够轻松应用于Edge浏览器,而无需进行重大更改。

%UserProfile%\AppData\Local\Microsoft\Edge\User Data

edge和Chrome痕迹的相似性

分析Edge浏览器中的下载数据

Edge可记录下载文件的大量元数据。

记录存储在历史数据库中,特别是downloads 和 download_url_chains表中。这些表中的关键字段包括:

  • current_path/target_path :文件保存的位置。
  • start_time/end_time:Webkit 格式的时间戳。
  • state :下载是否成功。

  • danger_type:文件是否被标记为危险文件。

  • interrupt_reason :下载失败的原因(如被标记为恶意软件)。

浏览器崩溃

  • opened -:文件是否通过浏览器的下载管理器打开。
  • last_access_time :文件最后一次通过浏览器打开的时间。
  • tab_url & tab_referrer_url : 启动下载的页面。
  • site_url :下载的源域名。
  • mime_type : 下载的文件类型。

下载链和重定向

download_url_chains 表有助于重建文件被下载的 URL 序列。

当网站采用多重重定向来掩盖文件的真实来源时,这种方法就非常有用,这是网络钓鱼和恶意软件传播中的一种常见策略。

浏览器扩展插件:无声的威胁

基于 Chromium 的浏览器也包括 Edge 在内,普遍支持大量扩展插件。虽然这非常有利于自定义,但同时也为安全风险打开了大门。恶意扩展插件是一个日益严重的威胁,通常用于窃取数据或安装恶意软件。

每个已安装的扩展插件都存储在 Edge 用户数据目录下一个唯一命名的文件夹中(基于应用程序 GUID)

其中,manifest.json 文件包含了关键的细节信息,例如

  • name : 扩展插件的正式名称。
  • description : 目的简述。
  • version : 已安装的版本。
  • URL & metadata : 用于识别扩展插件的附加信息。

虽然大多数取证工具都能提取这些数据,但手动查看 manifest.json 有时也会发现隐藏或误导性的细节。

(Hindsight等工具可以自动解析manifest.json文件,并以易于阅读的格式显示已安装的扩展插件。)

浏览器书签

在取证工具中,书签并不总是占据很重要的位置,但它们却蕴含着针对用户行为的宝贵线索。这些由用户有意创建的简单快捷方式可以揭示经常访问的网站、保存的研究内容,甚至是恶意活动的痕迹。

为什么书签在数字取证中很重要

书签可作为个性化的导航辅助工具,提供关键的详细信息,如

  • Website of interest  : 感兴趣的网站,准确的 URL,包括其中嵌入的任何参数。
  • User profile association : 标明创建书签的用户。
  • Timestamps : 有关书签创建时间或最后访问时间的信息。

谷歌Chrome浏览器和微软 Edge 浏览器

Chrome 浏览器和 Edge(基于 Chromium)会将书签存储在一个名为 “Bookmarks”(不含扩展名)的 .JSON 文件中,以便于解析。此外,备份版本(Bookmarks.bak 或 Edge 中的 Bookmarks.msbak)可保留以前的状态。

导出书签

  • date_added::使用 Webkit 时间戳的格式。
  • source:表示书签的创建方式(如用户添加或导入)。
  • url:保存的网址。

取证注意事项

  • 查找备份文件(Bookmarks.bak 或 Bookmarks.msbak)以检索已删除的书签。
  • 分析快照文件夹中存储的书签存档版本。
%UserProfile%\AppData\Local\Google\Chrome\User Data\Snapshots
%UserProfile%\AppData\Local\Microsoft\Edge\User Data\Snapshots
  • 如果用户已清除书签,备份版本可能仍保留过去的证据。

其他浏览器书签

检测恶意书签

书签有时会被恶意软件操纵,在用户不知情的情况下注入恶意网站。取证调查员应查找:

  • 短时间内异常频繁的书签创建行为(表明书签被自动化注入或基于脚本注入)。
  • 指向钓鱼网页或已知恶意软件托管域的书签。
  • 用户活动与书签之间的不匹配(例如,用户主要访问技术论坛,但却有多个金融诈骗书签)。

如何验证可疑书签

  1. 交叉检查浏览器历史记录 - 是否真正访问过该网站?
  2. 扫描系统中的恶意软件 - 寻找持续机制。
  3. 查看杀毒软件日志 - 是否检测到与浏览器活动有关的内容?

一些思考

取证分析不仅仅是查看历史记录,而是要通过所有可用的工具来了解用户行为。在这方面,书签提供了相当丰富的证据来源。

作者:Dean   翻译:Doris 转载请注明

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布