本文目的
本文通過用戶在使用百度雲過程中,在計算機上留下的痕跡來獲取用戶的賬號密碼以及相關信息,旨在提高大家安全防範的意識。
我們一般通過兩種方式來使用百度雲服務,一種是web端,另一種是桌面的客戶端。下面我們分別就這兩種方式來獲取用戶的相關信息。
Chrome瀏覽器方式痕跡分析
本文使用的瀏覽器為Chrome,經過分析,在用戶通過Chrome瀏覽器使用雲存儲服務後,瀏覽器的歷史記錄文件緩存文件、Cookies文件以及LoginData文件中存在相關的重要痕跡信息。
1、歷史記錄文件
在window7系統中,Chrome瀏覽器默認的歷史記錄文件在“C:\Users\AppData\Local\Google\Chrome\UserData\Default”路徑下,我們用UltraEdit打開,文件內容如下。
通過文件頭我們可以看到,這是一個SQLite數據庫文件,我們用SQLite數據庫查看軟件打開這個文件,可以看到文件中的表如下。
通過分析,其中downloads和urls以及downloads_url_chains這三張表存在與百度網盤有關的信息。
- urls表,存儲訪問過的網頁信息,url中以“pan.baidu.com/”開頭的,表示訪問過的百度網盤的url信息。
- downloads表記錄了下載文件的文件名,路徑,大小,下載時間,下載頁面等信息。用戶使用瀏覽器訪問百度網盤並從中下載了文件,將會在該表中留下相關記錄.
- downloads_url_chains表中記錄了文件的下載鏈接。
2、緩存文件
通過檢查cache文件夾中的數據,能夠發現相關的操作痕跡。包括上傳文件,創建文件夾,修改文件,重命名文件,下載文件等,這裡就不展開了。
3、Cookies文件
Chrome瀏覽器的Cookies文件存在於“C:\Users\AppData\Local\Google\Chrome\UserData\Default”路徑下,同樣這也是一個SQLite文件,表字段如下。
其中跟百度網盤相關的cookie有".baidu.com"域的BAIDUID,BDUSS以及"pan.baidu.com"域的PANWEB,STOKEN等。
cookie值並沒有存儲在value中,而是經過加密之後存到了encrypted_value字段中,具體的加密方式是使用了微軟提供的數據保護接口(data protection application programming interface,DPAPI)。
DPAPI由一個加密函數CryptProtectData和一個解密函數CryptUnProtectData組成,在同一系統用戶下,我們直接可以使用CryptUnProtectData對加密數據進行解密即可。
4、登錄信息
如果你在Chrome瀏覽器登錄網站時,使用了記住密碼的話,這些賬號和密碼都存儲在“C:\Users\AppData\Local\Google\Chrome\UserData\Default”路徑下的Login Data文件中。它也是一個SQLite文件,用戶名和密碼都存儲在logins表中,表結構說明如下。
可以發現,密碼值使用了與cookie相同的DPAPI加密。我們提取logins表中的數據,就能夠獲得用戶登錄各個網站的用戶名和密碼。如果用戶在登錄百度網盤,選擇記住賬號和密碼的話,就能夠從表中獲取用戶登錄百度網盤所使用的用戶名和密碼。
客戶端程序痕跡分析
同樣在客戶端我們也能夠獲取到用戶使用百度網盤的行為記錄,包括文件上傳,下載,文件重命名等。這裡簡單講解一下如何獲取客戶端的用戶登錄信息。
百度網盤客戶端將用戶的賬號和密碼信息存儲在了"BaiduNetdisk\users"路徑下的temp2.data(版本不同,文件命名可能會不同)。裡面的信息是經過加密存儲的,本文采用逆向分析技術對網盤客戶端解密temp2.data文件數據的過程進行了分析,得出了提取用戶賬號密碼的方法。
temp2.data中的數據
百度雲客戶端獲取本地的用戶名和密碼可以分為三個部分:(1)讀取用戶賬號信息,將數據解密,得到JSON格式字符串,解析得到用戶名以及加密的密碼;(2)生成解密秘鑰;(3)解密用戶密碼,利用第2步生成的秘鑰對加密的密碼進行解密,就可以得到真正的用戶密碼。
客戶端解密的過程如下(版本不同,過程可能也有不同)。
具體代碼,感興趣的讀者可以自行實現。
參考文獻
- Chen Yang.research on digital forensic key technologies for cloud storage client
關注技術大白,帶你瞭解技術內幕。
