基于网页浏览器的安全审计协议设计

在当今数字化时代，高效计算机和高速网络的普及使得信息共享变得轻而易举。电子文档的广泛使用，让信息传递更加便捷，但同时也带来了信息泄露和数据劫持等安全风险。为了有效防范这些风险，对个人计算机进行安全审计显得尤为重要。本文将介绍一种基于网页浏览器日志文件的安全审计协议，重点分析MS Internet Explorer的“index.dat”日志和Mozilla Firefox的缓存文件。

1. 背景与动机

随着互联网的发展，大量信息通过网络进行共享。电子文档的便捷传输使得信息泄露的风险增加。统计数据显示，80%的信息泄露是由内部人员故意造成的，20%是由外部入侵者造成的。因此，不仅要预防信息泄露，还要在犯罪发生后收集证据，以便采取适当的行动。目前，个人计算机的安全审计大多依赖审计人员的能力，这不仅耗费时间和人力资源，而且专业用户可以通过删除日志文件来逃避审计。因此，设计一种有效的安全审计协议至关重要。

2. 网页浏览器日志分析

2.1 “index.dat”日志

“index.dat”是一个二进制格式的日志文件，包含了MS Internet Explorer和Windows访问的互联网站点的信息。它记录了历史信息、互联网缓存、Cookie、用户数据和特殊事件。由于无法在资源管理器或命令窗口中删除“index.dat”，尝试删除会导致“访问冲突错误”，这表明它在操作系统中被使用，因此该文件始终存在于Windows系统中。

• 类型与作用
  • 临时“index.dat” ：记录了访问站点的地址和网页中图像文件的大部分信息。即使执行“删除临时Internet文件”命令，该文件中的信息也不会被删除。
  • Cookie “index.dat” ：包含了MS Internet Explorer访问的站点的Cookie信息。
  • 历史“index.dat” ：记录了MS Explorer访问的所有URL信息。该文件每周创建一次，每两个月备份一次。

偏移字节	描述
0x00	URL起始标签
0x04	存储块长度
0x08	最后修改时间
0x10	最后访问时间
0x38	缓存目录索引
0x3c	文件名偏移量
0x44	URL头偏移量
0x64	“OBADFOOD”标志
0x68	URL

• 结构特点
  “index.dat”的头部包含版本信息和固定长度的零数据，因此无法使用记事本等常规应用程序打开。其主体部分连接在零序列之后，数据的起始和结束位置难以识别。历史、临时和Cookie “index.dat” 虽然包含不同的数据，但都有5个相同的数据区域：URL、REDR、LEAK、HASH和BADFOOD。历史“index.dat”还包含文件名、URL头和填充字节等额外数据。

• 存储位置
  “index.dat”的存储位置因Windows版本而异，同时也取决于用户配置文件是否启用。以下是不同Windows版本中“index.dat”的常见存储位置：

Windows版本	存储位置
Windows 95+、NT+、Me	C:\Windows\Cookies\、C:\Windows\History\等
Windows 2000+、XP	C:\Documents and Settings \Cookies\、C:\Documents and Settings \Local Settings\History\History.IE5\等

• 综合信息
  “index.dat”包含了访问数据的URL、MAC时间和URL缓存位置等信息。通过这些信息，我们可以对计算机的访问历史进行审计。

2.2 Firefox日志文件

除了MS Internet Explorer，Mozilla Firefox也是一款流行的互联网浏览器。Firefox将缓存文件夹以缓存文件的形式存储日志。其缓存文件位于以下路径：
C:\Documents and Settings \Application Data\Mozilla\Firefox\Profiles______\Cache

在Firefox的缓存文件夹中，有三种类型的缓存文件：
- Cache Map文件 ：名为“ CACHE_MAP”，用于重建Firefox的缓存互联网访问数据。该文件包含8192条记录，映射到缓存数据，并包含哈希编号、数据位置和元数据位置等字段。但该文件不包含访问站点的信息，因此在安全审计中不做考虑。
- Cache Block文件 ：命名为“CACHE_00X ”，其中“X”是1到3的数字。该文件包含缓存内容和元数据信息，可以通过特定方法进行识别。
- 起始块 ：将元数据位置/数据位置与0x00FFFFFF进行按位与运算。
- 数据块数量 ：将元数据位置/数据位置与0x03000000进行按位与运算，并将结果右移24位。
- 数据块大小 ：将256左移特定位数（缓存块文件编号减1后乘以2）。
- Cache Data文件 ：当缓存内容或元数据太大无法嵌入Cache Block文件时，信息将保存到Cache Data文件中。文件名由哈希编号、类型（“d”表示缓存内容，“m”表示缓存元数据）和生成编号组成。

3. 基于“index.dat”的安全审计

假设Windows系统中只有一个用户账户，且用户使用MS Internet Explorer访问互联网。安全审计的过程如下：

graph TD;
    A[开始] --> B[构建Webmail域名数据库];
    B --> C[存储当前Windows版本];
    C --> D[查找所有“index.dat”文件];
    D --> E[构建历史、临时和Cookie的HTTP、FTP等参数];
    E --> F[收集硬盘文档文件信息];
    F --> G[比较文档文件与历史记录];
    G --> H[比较HTTP记录与Webmail域名];
    H --> I[构建整体访问参数];
    I --> J[结束];

• 详细步骤
  1. 构建Webmail域名数据库 ：选择支持Webmail的网站地址，如www.hotmail.com、mail.naver.com等。
  2. 存储当前Windows版本 ：将当前操作系统版本存储在参数VER中。
  3. 查找所有“index.dat”文件 ：根据参数VER，在相应路径中查找所有“index.dat”文件，并将其内容存储在HistoryIndex、TemporaryIndex和CookieIndex参数中。
  4. 构建参数 ：根据HistoryIndex、TemporaryIndex和CookieIndex参数，构建HTTP、FTP、TELNET、FILE和MAILTO等参数，每个参数包含URL和MAC时间。
  5. 收集硬盘文档文件信息 ：收集硬盘上的文档文件信息，包括文件名和MAC时间，并与HistoryIndex.FILE进行比较。如果扩展名匹配，则将文件名和MAC时间存储在WHOLE_Doc参数中。
  6. 比较HTTP记录与Webmail域名 ：将HistoryIndex.HTTP、TemporaryIndex.HTTP和CookieIndex.HTTP与MAIL_Domain进行比较。如果URL匹配，则将URL和MAC时间存储在MAIL_Access参数中。
  7. 构建整体访问参数 ：将HistoryIndex.FTP、HistoryIndex.TELNET和MAIL_Access合并，构建WHOLE_Access参数，该参数包含所有可能用于传输文件的URL和MAC时间。

通过以上步骤，我们可以对个人计算机的安全进行审计，识别可能的信息泄露事件。这种基于网页浏览器日志文件的安全审计协议为防范信息泄露提供了一种有效的方法。

4. 安全审计结果分析

通过上述安全审计过程，我们可以得到一系列的审计结果，包括文档文件信息、传输目的地、传输时间和传输方式等。下面对这些结果进行详细分析。

• 文档文件信息
  在WHOLE_Doc参数中，我们记录了硬盘上与历史访问记录中扩展名匹配的文档文件信息。这些信息可以帮助我们了解用户最近访问的文档文件。例如，如果发现某个敏感文档文件的最后访问时间与异常的网络访问时间接近，那么就有可能存在该文档被泄露的风险。

• 传输目的地
  WHOLE_Access参数包含了所有可能用于传输文件的URL信息。通过分析这些URL，我们可以确定文档文件可能的传输目的地。例如，如果发现某个URL指向一个外部的Webmail服务，那么就有可能存在通过Webmail泄露文档的情况。

• 传输时间
  MAC时间记录了文件的最后修改时间和最后访问时间。通过分析这些时间信息，我们可以确定文档文件传输的大致时间。例如，如果发现某个文档文件的最后访问时间与访问某个敏感URL的时间一致，那么就可以推断该文档在这个时间点可能被传输。

• 传输方式
  根据不同的URL类型，我们可以判断文档文件的传输方式。例如，如果URL以“http”开头，那么可能是通过HTTP协议进行传输；如果以“ftp”开头，那么可能是通过FTP协议进行传输。

5. 特殊情况处理

在安全审计过程中，可能会遇到一些特殊情况，下面对这些情况进行讨论。

• 历史记录中有但硬盘上不存在的文档文件
  在比较HistoryIndex.FILE与硬盘上的文档文件时，可能会发现一些文档文件在历史记录中存在，但在硬盘上已经被删除。这种情况可能是用户正常删除了文件，也可能是为了掩盖信息泄露而故意删除。对于这种情况，我们可以进一步分析历史访问记录中的其他信息，如访问时间、访问的URL等，来判断是否存在异常。

• 多用户账户情况
  上述安全审计协议假设Windows系统中只有一个用户账户。在实际情况中，系统可能存在多个用户账户。对于多用户账户的情况，我们需要对每个用户账户的“index.dat”文件进行单独审计，并将结果进行汇总分析。

6. 针对Mozilla Firefox的可选协议

如果用户使用Mozilla Firefox访问互联网，我们可以采用以下可选协议进行安全审计。

• 收集缓存文件信息
  按照前面介绍的Firefox缓存文件的存储位置和结构，收集Cache Map文件、Cache Block文件和Cache Data文件的信息。

• 分析缓存数据
  通过分析Cache Map文件中的哈希编号、数据位置和元数据位置等信息，重建Firefox的缓存数据。同时，根据Cache Block文件和Cache Data文件的特点，提取其中的URL和MAC时间等信息。

• 与Webmail域名比较
  将提取的URL信息与前面构建的Webmail域名数据库进行比较，找出可能存在的信息泄露风险。

7. 总结与展望

本文介绍了一种基于网页浏览器日志文件的安全审计协议，通过分析MS Internet Explorer的“index.dat”日志和Mozilla Firefox的缓存文件，实现了对个人计算机安全的审计。该协议可以帮助我们识别可能的信息泄露事件，为防范信息泄露提供了一种有效的方法。

未来，随着互联网技术的不断发展，安全审计面临着新的挑战。例如，越来越多的应用程序采用加密技术，使得日志文件中的信息难以分析。因此，我们需要进一步研究和改进安全审计技术，以适应不断变化的安全环境。同时，我们还可以结合人工智能和机器学习等技术，提高安全审计的效率和准确性。

以下是对整个安全审计过程的总结表格：
|步骤|操作内容|
| ---- | ---- |
|构建Webmail域名数据库|选择支持Webmail的网站地址|
|存储当前Windows版本|将当前操作系统版本存储在参数VER中|
|查找所有“index.dat”文件|根据参数VER，在相应路径中查找并存储“index.dat”文件内容|
|构建参数|根据“index.dat”文件内容构建HTTP、FTP等参数|
|收集硬盘文档文件信息|收集硬盘上文档文件信息并与历史记录比较|
|比较HTTP记录与Webmail域名|找出与Webmail域名匹配的URL和MAC时间|
|构建整体访问参数|合并相关参数构建包含所有可能传输文件的URL和MAC时间的参数|
|特殊情况处理|处理历史记录中有但硬盘上不存在的文档文件、多用户账户等情况|
|针对Firefox的可选协议|收集缓存文件信息、分析缓存数据并与Webmail域名比较|

graph LR;
    A[开始审计] --> B[选择浏览器类型];
    B -->|MS Internet Explorer| C[执行基于“index.dat”的审计流程];
    B -->|Mozilla Firefox| D[执行针对Firefox的可选协议];
    C --> E[分析审计结果];
    D --> E;
    E --> F[处理特殊情况];
    F --> G[输出审计报告];
    G --> H[结束审计];

通过以上的安全审计流程和相关处理方法，我们可以更全面、有效地对个人计算机的安全进行审计，及时发现并防范信息泄露等安全风险。