摘 要:TOR是全球应用最广泛的公共匿名通信服务系统,可有效隐藏消息发送者、接收者和两者关联性, 并具有延时低、稳定性好等特点,还可抵抗局部流量分析。TOR为了对抗取证分析,对使用痕迹也进行了清理和保护,但并不彻底。针对三种主流操作系统,即OS X、Debian 6.0和Windows 7搭建了虚拟环境,将使用TOR浏览器套件前后的操作系统分别做镜像并进行取证分析,通过md5值和hash值校验、关键字搜索、进程分析等方法来挖掘TOR的使用痕迹,共计发现20处残留信息,对电子取证工作有重要的参考意义。文章最后提出了规避信息泄露的简单方法。
关键词:匿名通信 TOR浏览器套件 取证分析 使用痕迹
一、引言
匿名通信技术是研究可有效隐藏发送者和接收者的来源、身份及双方通信关系的技术。David Chaum于1981年提出了匿名通信技术后,越来越多的研究人员开始关注匿名通信相关的攻击和防御技术。根据对象区分,匿名通信主要分为发送者匿名、接收者匿名、发送者和接收者的无关联性等。目前主流匿名通信技术有重路由、加密、包填充、广播和组播等。基于重路由技术的匿名通信系统又分为集中式匿名通信系统和分布式匿名通信系统,集中式匿名路由系统主要有Anonymizer、Mix、TOR、JAP、Tarzan、MorphMix,分布式匿名路由系统主要有Crowds、Hordes等。
TOR(The secondgeneration Onion Routing)系统 是第二代洋葱路由(OnionRouter)匿名通信系统,起源于美国海军研究实验室赞助项目,是一种基于TCP的低延时匿名通信系统。TOR系统为分布式全局网络,采用集中式目录式管理结构,由洋葱路由器(OnionRouter)、洋葱代理(OnionProxy)、目录服务器(DirectorySever)组成(如图1所示),以志愿者提供中继节点的方式广泛部署在互联网中,可提供发送者匿名、接收者匿名,具有低延迟、拥塞控制、前向安全等特点,而且还可以抵御非全局的流量分析攻击。2004年至2005年,电子前哨基金会(Electronic FrontierFoundation, EFF)曾赞助过TOR项目,开发人员在之后继续运维TOR官方网站,用户可在相关主页上(http://tor.eff.org)下载到TOR程序,并通过TOR进行匿名通信。根据数据统计,TOR浏览器套件(TOR Browser Bundle)每月下载量在十万以上,是全球最成功的公共匿名通信服务系统。研究人员也一直在致力于提高TOR的安全性和隐私性,开发出了相应的一些插件和补丁。
TOR浏览器套件在提供匿名通信功能的同时,也意图确保卸载后不会在用户终端留下使用痕迹。为了测试其在清除使用痕迹方面的安全性,本文将TOR浏览器套件(version3.6.6)在三种不同类型的主流操作系统上进行了分析,分别为OS X 10.8、Debian 6.0和Windows 7,测试目标是寻找Tor浏览器套件的使用痕迹信息。本文对实验的前提假设、实验方法、实验工具进行了介绍,描述了实验步骤,深入检查了不同操作系统上的使用痕迹,最后对实验意义进行了总结,并提出了消除痕迹的可行建议。
二、实验环境
(一)前提假设
为了使实验结论客观、明确、可重复验证,我们对此次取证分析过程中的界定范围、测试方法、可选工具引入了一些限制条件,也为用户、系统、使用TOR浏览器套件的方式做了必要的前提假设,即操作系统采用默认方式安装,且假设用户不知如何发现和移除TOR浏览器套件的使用痕迹。否则,具有管理员权限的技术型用户可通过专业手段刻意规避或删除使用痕迹,显著提升取证分析的难度。
(二)实验方法
本文取证研究的主要范围是分析上述三种主流操作系统安装、使用TOR浏览器套件后的所有变更。我们基于VMWare分别搭建了三个虚拟环境,均采用默认配置安装。为避免网络下载产生上网痕迹,TOR浏览器套件未采用浏览器获取,而是通过外接存储介质拷贝安装至终端桌面或用户主目录。一旦网页浏览测试完成,TOR浏览器套件的安装程序和相关目录就被移入回收站,清空处理后做关机操作,之后再对使用痕迹进行取证分析。我们并未关注如外接存储介质使用等与Tor浏览器套件非直接相关的使用痕迹,当TOR浏览器套件还在使用中或操作系统尚未彻底关机时产生的使用痕迹也不在考虑之中。
(三)实验工具
实验中使用了数种工具来做取证分析,来源均为网络下载。我们在运行Tor浏览器套件前后使用了以下四种工具:
(1)dd对虚拟驱动器数据创建备份镜像;
(2)rsync将系统上的所有文件拷入外接存储介质便于分析;
(3)md5deep和hashdeep计算驱动器上每一个文件的hash值,并用纯净系统镜像的hash值与受污染(即使用TOR浏览器套件后)系统镜像的hash值进行比对,如hash值变化则表明有文件被更改。
(4)Noriben和Procmon沙箱脚本和系统进程管理器,因为程序版本原因仅在Windows 7环境做了使用,生成了记录TOR浏览器套件运行的分析报告。
(四)实验步骤
我们对三种主流操作系统采取了相同的测试环境构建过程,为每一种操作系统单独建立了虚拟机,使用在安装过程中创建的账号登陆,安装了可用的系统更新,期间根据提示执行了关机重启操作。根据默认安装过程,我们在Linux系统上使用了普通用户帐户,在OSX系统上使用了非root的管理员账户,在Windows系统上使用了管理员账户。
图2中的Data文件夹包含了Tor和Browser文件夹,Tor文件夹中部分文件记录了TOR浏览器套件的执行日期、所在盘符,如图3所示。Browser文件夹中部分文件记录了浏览器路径,如图4所示。
一旦安装了操作系统,我们按如下步骤进行实验:
① 将虚拟驱动器与另一个虚拟机相连;
② 使用dd为虚拟驱动器创建一个镜像;
③ 在原始虚拟驱动器上,使用md5deep和hashdeep 计算虚拟驱动器上每个文件的md5值和hash值,确保双重校验;
④ 在原始虚拟驱动器上,使用rsync将所有文件拷贝到外接驱动器上;
⑤ 保存一份纯净的虚拟机拷贝之后,重启系统并连接外接驱动器,将TOR浏览器套件从外接存储介质拷入桌面或用户主目录下;
⑥ 通过点击软件包来提取解压并运行TOR浏览器套件;
注:在Debian Linux上,通过“tar zxvf”命令来提取软件,并使用“./start-tor-browser”命令来启动程序。
⑦ 用Tor浏览器登陆“https://check.torproject.org/”来确认联网成功,接着随机浏览一些不同的页面、点击一些链接,最后点击Vidalia(专为Tor设计的管理助手)中的“Exit”键,正常关闭Tor浏览器;
⑧ 删除Tor浏览器套件文件夹和软件包,把所有组件都移入垃圾箱或回收站后做清空处理并关闭操作系统;
注:在Linux中,使用命令“rm -rf”删除Tor浏览器文件夹和软件包。
⑨ 重复使用dd、rsync、md5deep和hashdeep创建受污染(即使用TOR浏览器套件后)虚拟机的拷贝,获取文件校验结果。
注:在windows 7中,使用了上文提到的Noriben和Procmon作了进一步分析。
三、证据源分析
我们列出了与TOR浏览器套件直接相关的取证分析所发现的证据源,值得注意的是其中部分使用痕迹是因操作系统默认设置所致,如在OS X上使用的Spotlight和Windows自带的Windows Search。
(一)OS X
(二)GNOME图形界面的Debian GNU/Linux
(三)Windows
相关说明如下:
(1)针对第14条“Prefetch”证据源的①、③、④,我们恢复出了以下使用痕迹,如图5所示。
a. 安装日期
b. 第一次执行日期
c. 最近一次执行日期
d. 执行次数
即使Prefetch文件被删除后我们也可以使用Winhex分析system32文件夹下的BootCKCL.etl文件来寻找TOR浏览器套件的使用痕迹,如图6所示。
(2)第15条“ThumbnailCache”证据源中其他文件,比如thumbcache_1024.db、thumbcach_sr.db、thumb_cache_idx.db和IconCache.db也包含了洋葱图标,可以使用Windows标准图标来替换洋葱图标的方法解决痕迹泄露问题。
(3)针对第16条“Pagefile.sys”证据源,我们还做了进一步分析。MozillaFirefox提供了隐私浏览模式,即不保存上网缓存数据。TOR浏览器套件也具备该功能特性,但通常使用旧版本的Firefox。通过分析“Pagefile.sys”中的“HTTP-memory-only-PB”字段来检查浏览器的版本号,以此判定是否存在TOR浏览器套件的使用痕迹,如图7所示。
(4)第17条“Windows注册表”证据源中,除了UsrClass文件外,我们通过VSS(Visual Source Safe)工具,在NTUSER.DAT中发现了TOR浏览器套件的最近一次执行日期、执行次数和执行路径,如图8所示。
(5)针对第20条“hiberfil.sys”证据源,可以通过memory dump工具导出后做字段分析来搜索TOR浏览器套件的使用痕迹。
四、结论
综上我们可知,无论在哪一种操作系统上,TOR浏览器套件自身提供的使用痕迹清理功能其实都是不完善、不彻底的。TOR作为一种通用的匿名通信工具,已被诸多网络爱好者包括黑客使用,在我们平时接触的案件中也屡次佐证这一点。上述证据源分析为取证工作带来了便利,具有较为重要的参考意义。
为了有效提升终端安全性,我们可以通过使用TAILS(The Amnesic Incognito Live System)等运行于内存中的操作系统来避免在硬盘驱动器上留下使用痕迹。但是除了在终端会留下使用痕迹之外,目前TOR具备的抗流量分析功能也容易遭受通信流和时间分析等方式的攻击,匿名功能已经面临诸多严重挑战。
文章出处: 警察技术杂志
暂无评论内容