Microsoft Edge浏览器的取证分析（基于Chromium）

概述

早在2019年，微软就用Chromium替换了EdgeHTML浏览器引擎，这是微软支持谷歌Chrome浏览器的一个开源项目。通过切换到Chromium，Edge与Chrome浏览器共享一个共同的架构，这意味着用于Chrome浏览器调查的取证技术也适用于Edge。

微软不仅在使用Chromium，而且还在积极推动Chromium的开发。这意味着，只要微软继续向Chromium项目提交修改，而不是针对Edge进行修改，那么为Chrome浏览器开发的取证工具就能在Edge上无缝运行。

就连Edge和Chrome浏览器也几乎完全相同。微软推出了一些独特的功能。其中最吸引人的是IE模式，它允许用户使用传统的Internet Explorer引擎打开标签页。该功能主要针对仍然依赖旧版网络应用程序的企业。

Edge保持与Chrome浏览器相同的文件夹结构。使现有的Chrome浏览器取证方法能够轻松应用于Edge浏览器，而无需进行重大更改。

%UserProfile%\AppData\Local\Microsoft\Edge\User Data

edge和Chrome痕迹的相似性

分析Edge浏览器中的下载数据

Edge可记录下载文件的大量元数据。

记录存储在历史数据库中，特别是downloads 和 download_url_chains 表中。这些表中的关键字段包括：

• current_path/target_path ：文件保存的位置。
• start_time/end_time：Webkit 格式的时间戳。
• state ：下载是否成功。

• danger_type：文件是否被标记为危险文件。

• interrupt_reason ：下载失败的原因（如被标记为恶意软件）。

浏览器崩溃

• opened -：文件是否通过浏览器的下载管理器打开。
• last_access_time ：文件最后一次通过浏览器打开的时间。
• tab_url & tab_referrer_url ： 启动下载的页面。
• site_url ：下载的源域名。
• mime_type ： 下载的文件类型。

下载链和重定向

download_url_chains 表有助于重建文件被下载的 URL 序列。

当网站采用多重重定向来掩盖文件的真实来源时，这种方法就非常有用，这是网络钓鱼和恶意软件传播中的一种常见策略。

浏览器扩展插件：无声的威胁

基于 Chromium 的浏览器也包括 Edge 在内，普遍支持大量扩展插件。虽然这非常有利于自定义，但同时也为安全风险打开了大门。恶意扩展插件是一个日益严重的威胁，通常用于窃取数据或安装恶意软件。

每个已安装的扩展插件都存储在 Edge 用户数据目录下一个唯一命名的文件夹中（基于应用程序 GUID）

其中，manifest.json 文件包含了关键的细节信息，例如

• name ： 扩展插件的正式名称。
• description ： 目的简述。
• version ： 已安装的版本。
• URL & metadata ： 用于识别扩展插件的附加信息。

虽然大多数取证工具都能提取这些数据，但手动查看 manifest.json 有时也会发现隐藏或误导性的细节。

（Hindsight等工具可以自动解析manifest.json文件，并以易于阅读的格式显示已安装的扩展插件。）

浏览器书签

在取证工具中，书签并不总是占据很重要的位置，但它们却蕴含着针对用户行为的宝贵线索。这些由用户有意创建的简单快捷方式可以揭示经常访问的网站、保存的研究内容，甚至是恶意活动的痕迹。

为什么书签在数字取证中很重要

书签可作为个性化的导航辅助工具，提供关键的详细信息，如

• Website of interest ： 感兴趣的网站，准确的 URL，包括其中嵌入的任何参数。
• User profile association ： 标明创建书签的用户。
• Timestamps ： 有关书签创建时间或最后访问时间的信息。

谷歌Chrome浏览器和微软 Edge 浏览器

Chrome 浏览器和 Edge（基于 Chromium）会将书签存储在一个名为 "Bookmarks "（不含扩展名）的 .JSON 文件中，以便于解析。此外，备份版本（Bookmarks.bak 或 Edge 中的 Bookmarks.msbak）可保留以前的状态。

导出书签

• date_added:：使用 Webkit 时间戳的格式。
• source：表示书签的创建方式（如用户添加或导入）。
• url：保存的网址。

取证注意事项

• 查找备份文件（Bookmarks.bak 或 Bookmarks.msbak）以检索已删除的书签。

• 分析快照文件夹中存储的书签存档版本。

  %UserProfile%\AppData\Local\Google\Chrome\User Data\Snapshots
  %UserProfile%\AppData\Local\Microsoft\Edge\User Data\Snapshots

• 如果用户已清除书签，备份版本可能仍保留过去的证据。

其他浏览器书签

检测恶意书签

书签有时会被恶意软件操纵，在用户不知情的情况下注入恶意网站。取证调查员应查找：

• 短时间内异常频繁的书签创建行为（表明书签被自动化注入或基于脚本注入）。
• 指向钓鱼网页或已知恶意软件托管域的书签。
• 用户活动与书签之间的不匹配（例如，用户主要访问技术论坛，但却有多个金融诈骗书签）。

如何验证可疑书签

1. 交叉检查浏览器历史记录 - 是否真正访问过该网站？
2. 扫描系统中的恶意软件 - 寻找持续机制。
3. 查看杀毒软件日志 - 是否检测到与浏览器活动有关的内容？

一些思考

取证分析不仅仅是查看历史记录，而是要通过所有可用的工具来了解用户行为。在这方面，书签提供了相当丰富的证据来源。

作者：Dean 翻译：Doris 转载请注明