由于隐私问题,Flash cookie进来成为一个热点安全话题。不过从另一个角度讲,Flash cookie(即本地共享对象)却是一个很好的法庭证据——因为凡是在个人隐私上有问题的东西,都在取证调查上都很有用。本文首先详细介绍Flash cookie的有关基础知识,然后阐述了它在取证分析中的应用,最后给出一个操作Flash cookie的小工具。
一、Flash cookie基础知识
首先,介绍一些Flash cookie方面的基础知识:
◆Flash在互联网上已经非常普及,它不仅提供流式视频,同时还提供富客户端体验。目前,许多流行的站点都依赖于Flash,因此,Flash插件在Internet用户中的安装率极高。
◆Flash标准的本地共享对象本地共享对象允许在用户电脑上的本地Flash实例中存储数据。
◆本地共享对象是作为一些单独的文件来存储的,它们的文件扩展名为.SOL。默认时,它们的尺寸为不超过100kB,并且不会过期——这一点与传统的HTTP Cookie不同。
◆我已经在本地系统上的两处位置发现了.SOL文件,分别是%user profile%\Application Data\Macromedia\Flash Player 和 %user profile%\Application Data\Macromedia\Flash Player\#SharedObjects\\,这里的%user profile%表示用户文件夹目录,在XP 系统上一般为C:\Documents and Settings\\ 。对于Vista系统来说,可能还有留意%user profile%目录下的Roaming文件夹。
◆本地共享对象并不是基于浏览器的,所以普通的用户不容易删除它们。如果要删掉它们的话,首先要知道这些文件所在的具体位置。这使得本地共享对象能够长时间的保留在本地系统上。
二、取证分析
在进行计算机调查取证时,将本地共享对象描述为Flash cookie是比较恰当的,因为它们提供了类似于传统的HTTP Cookie的各种信息。一般情况下,Flash cookie可以提供下列信息:
已访问过的网站
Flash要求按照域名的体系结构分层存储本地共享对象。这样做能够强制每个域名只能在本地系统上最多存放100k数据。从我们的角度来说,这给调查取证工作打开了一扇迅速检查已访问站点的方便之门。
|
| 图1 显示本地共享对象域的目录清单 |
要注意的是,基于Flash的广告也能够保存本地共享对象,这一点很重要,因为在一些情况下我们要考虑这些站点是不是用户特意去访问的。本地共享对象的来源是非常明显的(参见图2),但是更进一步地测试或者额外的证据可能必须要进行必要的推断。
|
| 图2 来自一个Flash广告的本地共享对象 |
访问站点时所登录的本地用户帐户
我们知道,.SOL文件位于%user profile%文件夹中,而它正好指出了保存该文件时用户所登录的帐户。
访问站点的起止时间
因为.SOL文件是单独存放的,所以我们能够利用文件系统的时间戳来确定该文件的建立和最后一次修改时间。在Windows XP 系统上,我们可以使用访问时间来确定最近读取该文件的时间。通过它,我们可以了解最近一次访问该站点的时间,但是我们必须小心,因为我们尚不明了要求站点读取该本地共享对象的标准。但是大部分情况下,每当访问这些站点的时候,它们就会访问它们存放在用户端的本地共享对象;不过,如果由于某种原因站点没有读取该本地共享对象的话,访问时间就不会改变。
SOL文件的创建时间有可能告诉我们第一次访问该站点的时间。再一次强调,我们无法保证该在第一次访问该站点时必定创建该本地共享对象,所以断定起来有些难度。最佳的说法应该是已知的最初访问该站点的时间。在系统上的其他证据可能印证这确实是第一次访问时间,或者表明还有更早的访问时间。
所以,放回头去在看看图 1,我们可以看到已知的访问mg3.mail.yahoo.com的最早时间是11/27/2008上午1:38,已知的最后一次访问时间为8/17/2009下午5:27,这里的时间都是本地计算机时间。
网站存储的数据
Flash试图通过控制格式并迫使所有的数据都存放成二进制序列来对本地共享对象数据进行混淆处理。也就是说,如果您发现了一个相关文件,那么就不要忽视这个数据区域。我也发现有趣的明文消息,例如天气网站存储的基于文本的位置信息。
三、Flash cookie工具
虽然不推荐作为取证工具使用,因为它要求在一个工作的系统上安装运行,但是Better Privacy Firefox扩展用于在本地系统上发现和清除本地共享对象还是非常不错的。了解法庭证据来最好手段之一是在一个已经知道其行为的系统上做检查,例如在自己的系统上。插件Better Privacy允许您轻松地查看和管理在一个运行中的系统中的本地共享对象。
|
| 图3 Better Privacy插件的截屏 |
四、小结
由于隐私问题,Flash cookie进来成为一个热点安全话题。不过从另一个角度讲,Flash cookie(即本地共享对象)却是一个很好的法庭证据——因为凡是在个人隐私上有问题的东西,都在取证调查上都很有用。本文首先详细介绍了Flash cookie的有关基础知识,然后阐述了它在取证分析中的应用,最后给出了一个操作Flash cookie的小工具。
分享到:
相关推荐
在Web开发中,Cookie通常用于跟踪用户会话、存储用户偏好或者个性化网站内容。然而,由于浏览器的隐私设置,用户可以轻易删除这些Cookie,从而限制了网站对用户行为的追踪。为了解决这个问题,Flash开发者引入了...
Flash Cookie,也称为Local Shared Objects (LSOs),是Adobe Flash Player提供的一种机制,用于存储用户本地数据。本教程将深入讲解如何通过AS2(ActionScript 2.0)引用外部类来实现Flash Cookie的读写。 首先,让...
可以删除cookie,也包括FlashCookie。是用java编写的。各位可以放心使用。我在windows7的环境中,没有问题。已经修改过了,alpha1.0.1版本 详细说明: 该软件,可以手动配置,使部分需要保留的cookie(和Flash...
2013年的315晚会结束后想必大家都会关心Cookie和Flash Cookie这两个到底如何关闭,避免大家的信息暴露
Flash Cookie,也称为Local Shared Objects (LSO),是Adobe Flash Player为存储用户特定的数据而引入的一种机制。与传统的HTTP Cookie不同,Flash Cookie不受浏览器的同源策略限制,因此可以存储更多的数据(最大100...
在互联网世界中,Cookie是网站存储在用户计算机上的小型文本文件,用于跟踪用户行为、保存登录信息等。然而,除了传统的HTTP Cookie,还存在一种名为Flash Cookie(也称为Local Shared Objects,LSO)的技术,它由...
可以删除cookie,也包括FlashCookie。是用java编写的。各位可以放心使用。我在windows7的环境中,没有问题。 详细说明: 该软件,可以手动配置,使部分需要保留的cookie(和FlashCookie),不被删除。比如:amazon等。...
Flash Cookie,也称为Local Shared Objects (LSO),是Adobe Flash技术提供的一种数据存储机制,用于在用户的计算机上存储数据,类似于传统的HTTP Cookies。Flash Cookie在某些方面比HTTP Cookies更强大,因为它们...
//设置flashcookie mySwfStore.get('myKey'); //读取flashcookie 还有清除等命令在例子里,大家可以自己看哦。 跨域只需要把 js代码里的 swf_url 地址设置成绝对地址就可以了。 比如 swf_url=...
IE浏览器取证主要关注用户的浏览历史、缓存、Cookie等信息,这些数据可以揭示用户的网络活动。使用专门的IE分析工具,可以深入浏览器的缓存文件、临时Internet文件夹等,提取出浏览过的网址、访问时间、下载记录等。...
很多时候flash产生的cookie,利用浏览器自带的cookie清理并不能完全清除,这款工具可以完全清除残余在电脑上的flash cookie
在我负责的一个项目中,为了实现一个特殊的需求,要求在客户端的Cookie中长久保存一份数据,但是我们知道在客户端Cookie里保存数据是不稳 定的,因为...在尝试了许多方法之后,我们最后选择使用FlashCookie技术来做。
央视315报道大家都看了吧,flashcookie会暴露你的隐私,用这个工具就可以清除和禁用flashcookie 点击delete all cookies清除所有flashcookies 点击disable cookies禁用flashcookes
在Flash AS3编程中,Cookie是一种重要的数据存储机制,它允许你在用户访问网站时保存和检索数据。这个“Flash AS3 Cookie操作实例源码”压缩包包含了一个具体的示例,教你如何在ActionScript 3(AS3)环境中进行...
根据提供的文件标题、描述、标签以及部分内容,我们可以深入探讨 ASP.NET 中如何与 Flash 进行交互,特别是关于 Cookie 的管理和使用。以下是对该主题的详细分析: ### ASP.NET 中 Cookie 的基本概念 #### 1. 创建...
//创建文本字段: 名称为showbox,深度1,坐标位置10,10,宽200,高100 ...showbox.text="当前页面中COOKIE为:"; //这个对象用来接收从javascript传过来的数据,监视属性coo,当其数值改变的时候,自动触发函数show
### 计算机网络知识中的Cookie基础篇 #### 一、引言 互联网技术日新月异,其中Cookie技术作为一项基本且重要的组成部分,在网络应用中扮演着关键角色。自2000年以来,随着网络隐私权问题的日益凸显,Cookie技术受...
Flash Player允许网站在用户的计算机上存储一定量的数据,以便在用户下次访问时能够快速加载个性化内容或者实现离线应用的功能。 Flash的本地共享对象(Local Shared Objects, LSOs)是这种存储机制的核心。LSOs...
清除电脑缓存flashcookie文件。关于flash cookie是什么,及其与cookie的区别, 见baidu百科:...
- `deleteCookie`方法:用于删除已设置的Cookie,通常需要指定Cookie的名称。 - `checkCookie`方法:检查某个Cookie是否存在,返回布尔值。 - 可能还有其他辅助方法,如处理编码和解码,或者与其他会话系统集成。...