网络空间安全概论 实验10 网络浏览器取证实验样例1

实验三网络取证WebBrowserToolsPackage/web_browser_tools.html1实验目的学会使用网络取证常用的工具；了解熟悉网络取证所要搜集的信息；2实验内容使用Cookies分析工具；使用上网历史记录分析工具；使用收藏夹工具；使用搜索引擎关键词分析工具；使用网页缓存分析工具；使用网页离线浏览器；3实验步骤下载相应的工具，解压并且安装相应的软件。打开相应的分析监控工具，查看相应的浏览器信息，历史记录，收藏夹，搜索引擎关键词，网页缓存，网页离线浏览器。4实验内容4.1Cookies分析Cookie，也称之为HTTPCookie、WebCookie或者浏览器Cookie，是一小段由网站生成的并被存储在用户浏览器的数据，它随着用户访问网站而产生。当用户在以后再次浏览相同的网站，这小段包含用户之前信息的数据将被发送回网站。会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）个性化设置（如用户自定义设置、主题等）浏览器行为跟踪（如跟踪分析用户行为等）4.1.1查看浏览器所有的cookie在Google设置->隐私设置和安全性->cookie及其他网站数据->查看所有cookie和网站数据可以查看cookie选择查看具体网站cookied详情，也可以删除或者直接检索cookie名称。如图为本地存储的数据在ACCOUNT_CHOOSER中，我们可以看到对应的名称、对应的值、所属域名、所属路径、创建时间和到期时间，也可以选择删除。4.1.2删除浏览器的cookie快捷键：Ctrl+Shift+Delete勾选Cookie，清除数据即可。4.1.3查看当前网页的cookie打开CSDN网站，在地址栏旁点击锁图案，就可以查看该网站的cookie。可以查看具体cookie的详情信息，同时也可以删除某个具体的cookie或者所有的cookie4.1.4查看、修改、删除cookie以CSDN网站为例，按F12调出开发者工具，切换到应用->Cookie->具体网站在空白处双击，即可新增cookie，自定义cook的名称、对应的值、所属网站域名、域名下具体的地址、到期时间。双击需要修改的cookie属性可以进行修改选择需要删除的cookie，点击鼠标右键4.1.4查看网站cookie快捷方式1）地址栏运行js代码在浏览器的地址栏输入：javascript:alert(document.cookie)(不区分大小写)，就会弹出你在当前网页登录的cookie信息。2）cookie可复制在地址栏运行javascript:prompt("cookie",document.cookie)，按ctrl+c一键复制所有cookie信息在剪切板上。4.1.5EdgeCookiesView工具EdgeCookiesView官方版是一款专为谷歌浏览器打造的cookie查看工具，通过EdgeCookiesView最新版用户可以查看谷歌浏览器中保存的数据，如浏览记录等，EdgeCookiesView提供了更便捷的数据查看方式，同时还支持对当前运行的浏览器数据载入，用户能够轻松阅读历史。可以选择某一具体站点查看详细的信息，并且可以进行修改4.2BrowsingHistoryView工具1）运行BrowsingHistoryView，会先开启一个「AdvancedOptions」(高级选项)的窗口，里面有几个部分可以设置：Filterbyvisitdate/time：依照浏览日期、时间来筛选。里面有四种选项，可选择所有时间、最近几小时、最近几天、指定日期区间。WebBrowsers：要查询的浏览器。Loadhistoryfrom..：可选择查询所有使用者、目前使用者、指定资料夹里面的浏览历史记录。2）接着画面上会出现浏览历史的筛选结果。里面一共有六栏，包括了网址(URL)、网页标题(Title)、访问时间(VisitTime)、访问次数(VisitCount)、浏览器(Webbrowser)及使用者文档(Profile)。如果想要重新筛选浏览历史，只要按下工具列左边数过来第一个按钮，或是从上方选单的【Options】→【AdvancedOptions】当然你可以按下Ctrl+F来搜索浏览历史，可输入网址或网页标题其中的关键字，就可立刻找出该网址。在浏览历史上方按下鼠标右键，可选择要保存、复制已选取的项目，也可将所有或选取的记录保存为网页报表(HTMLReport)。如果按下【Properties】可以查看该记录的完整内容。4.3WebBrowserBookmarksView工具WebBrowserBookmarksView是一个用于Windows的简单工具，可显示存储在Chrome和FirefoxWeb浏览器中的所有书签的详细信息。对于每个书签，将显示以下信息：标题、URL、文件夹名称、文件夹路径、位置、创建时间、修改时间、ID、Guid、Web浏览器和书签文件。WebBrowserBookmarksView允许您从当前运行的系统、网络上的远程计算机和外部硬盘驱动器加载书签列表。按下Ctrl+F来快速搜索书签当然也可以保存，鼠标点击右键选择【Properties】可以查看该书签的详细信息。4.4MyLastSearch工具MyLastSearch实用程序扫描您的Web浏览器的缓存和历史文件，并找到您使用最流行的搜索引擎（Google、Yahoo和MSN）和流行的社交网站（Twitter、Facebook、MySpace）进行的所有搜索查询。您所做的搜索查询显示在具有以下列的表格中：搜索文本、搜索引擎、搜索时间、搜索类型（常规、视频、图像）、Web浏览器和搜索URL。您可以选择一个或多个搜索查询，然后将它们复制到剪贴板或将它们保存到text/html/xml文件中。1）运行之后，MyLastSearch扫描Web浏览器(InternetExplorer和/或Firefox)的缓存和历史文件，并查找其中存储的所有搜索查询。扫描过程可能需要几秒钟到1分钟，具体取决于缓存和历史记录文件的大小。扫描过程完成后，主窗口应显示您使用最受欢迎的搜索引擎进行的所有搜索查询的列表。2）我们可以使用Ctrl+F对关键词进行查询3）当然也可以保存，鼠标点击右键选择【Properties】可以查看该关键词的详细信息可以看到有搜索文本、搜索引擎和搜索时间等信息。4.5ChromeCacheView工具ChromeCacheView是一个实用的读取谷歌Chrome浏览器缓存程序，它可以读取GoogleChromeWeb浏览器的缓存文件夹，并显示当前存储在缓存中的所有文件的列表。对于每个缓存文件，显示以下信息：URL，内容类型，文件大小，上次访问时间，到期时间，服务器名称，服务器响应等。1）运行后，主窗口会显示当前存储在默认GoogleChrome用户缓存中的文件列表。您可以轻松地从缓存列表中选择一个或多个项目，而后将文件提取到另一个文件夹，或者将URL列表覆盖到剪贴板。此外它还可以自动定向查找Chrome的缓存文件夹并读取其中的数据，批量实现对缓存文件进行管理，并具有自定义选中缓存文件夹的功能。文件可按类型及时间进行排序，也可生成独自的HTML报告便于查看。2）使用本读取谷歌Chrome浏览器缓存工具您可以查看与提取GoogleChrome浏览器缓存图片/音乐/视频，GoogleChrome浏览器缓存文件一览无余，右键菜单也比较实用：保存选中项、复制选中项、HTML报告、选择分栏、自动调整分栏大小、属性、刷新等。从文件名与相应的URL开始，可以获取N多信息。内容类型，并以文件大小，访问时间，服务器名称，时间与响应，编码状态与缓存控件结尾。但是，可以通过单击表标题轻松地对记录进行排序，并可以删除不需要的列。只需单击几下，您就可以为列表中的所有或部分项