關于Microsoft Edge瀏覽器使用痕跡的提取與研究

陳燕月

（廈門城市職業學院 福建廈門 361008)

NetMarketShare在2020年10月發布的統計報告顯示，Microsoft Edge瀏覽器（簡稱Edge瀏覽器）的市場份額已經高于10%，表明Edge瀏覽器已經成為市場主流瀏覽器之一。因此，Edge瀏覽器將成為瀏覽器使用痕跡取證的主要研究對象之一。本文主要針對Edge歷史數據存儲位置和格式展開研究，為該瀏覽器使用痕跡取證提供理論基礎。

一、Edge瀏覽器介紹

Edge瀏覽器是微軟在2015年7月隨Windows10（簡稱Win10）一同推出的，改變微軟此前Internet Explorer（簡稱IE）更新需要不斷考慮瀏覽器兼容性的現狀。目前，微軟宣布將于2021年8月17日之后關閉Microsoft365應用和服務對IE11的支持[1]，全新的Edge瀏覽器將替代IE成為Win10的默認瀏覽器。

2020年1月前，Edge瀏覽器采用EdgeHTML內核作為引擎，支持Win10環境運行。但因為EdgeHTML內核的Edge瀏覽器與Win10進行捆綁，更新緩慢。2018年12月，微軟正式宣布將Edge瀏覽器的內核從EdgeHTML遷移為Chromium，Chromium內核的Edge瀏覽器支持Win7、Win8、Win8.1、Win10、MacOS系統以及手機平臺的Android、iOS系統，增強了Edge瀏覽性能、擴展功能和兼容性。

Web瀏覽器主要包括用戶界面、瀏覽器引擎、渲染引擎、網絡部件、UI后端、JavaScript解釋器和數據存儲七個部分[2]。其中數據存儲部分包括瀏覽器在使用者的計算機或手機中保存的歷史記錄、下載記錄、Cookies等輕量級的數據，瀏覽器使用痕跡取證最關鍵的就是獲取數據存儲部分的瀏覽器數據進行證據分析和提交。

二、Edge瀏覽器歷史數據

瀏覽器的歷史數據包括用戶使用瀏覽器進行網頁瀏覽、文件下載、關鍵字搜索等一系列功能所產生并保存下來的歷史記錄、Cache緩存記錄、下載記錄、Cookie記錄等數據。瀏覽器將用戶產生的使用痕跡進行分類，并根據數據的重用性和類別采用不同的加密、存儲格式存儲到用戶設備指定文件中。以下就Edge瀏覽器存儲的各種類型的歷史數據存儲位置和格式展開研究介紹。

（一）歷史記錄

歷史記錄存儲了用戶使用瀏覽器進行Web頁面或本地頁面訪問的時間、地址信息，在瀏覽器取證中通過用戶歷史記錄的獲取和分析可以實現用戶行為輪廓繪制[3]，幫助執法者進行不法人員排查；通過分析歷史記錄中用戶電子郵件瀏覽、地址搜索瀏覽等信息，能夠有效鎖定被調查人員的活動軌跡。EdgeHTML內核的歷史記錄存儲在A/Microsoft/Windows/WebCach-e/WebCacheV01.dat(A表示位置[系統盤]/Users/[用戶名]/AppData/Local)，Chromium內核存儲在B/History(B表示位置A/Microsoft/Edge/User Data/De-fault)。

在Windows系統中WebCacheV01.dat默認是隱藏的系統文件，可以有效避免被誤刪除；該文件采用ESE數據庫文件的形式進行數據存儲，只能以二進制形式或者利用專業分析工具進行數據查閱，其同級目錄下存儲有ESE數據庫相應的檢驗點文件（*.chk格式）、事務記錄文件（*.log格式）和保留事務日志文件（*.jrs格式）。利用WinHex可以查閱WebCacheV01.dat文件十六進制數據。

WebCacheV01.dat文件以單個表的方式進行數據信息的存儲，每張表的位置都和前一張表的大小有關，通常這些表的大小都是固定的，而所有表的入口存儲在表頭數據中從0xEC處開始4字節數據中[3]。WebCacheV01.dat同時存儲著Edge瀏覽器的歷史記錄、Cache緩存、下載記錄、搜索記錄、Cookie信息，采用ESEdb文件解析的形式對WebCacheV01.dat文件進行數據提取可以獲取用戶相應的使用痕跡。

Chromium內核Edge瀏覽器的歷史數據存儲格式基本上與Chrome瀏覽器一致，采用SQLite數據庫文件存儲瀏覽器的上網記錄、Cache緩存數據、Cookies信息等數據。SQLite數據庫文件以頁為單位進行信息存儲，頁的大小值可以根據需求指定，每頁的起始編號為1。SQLite文件前16字節為該文件的文件簽名（0x53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33 2E)，從0x10開始兩個字節數據采用大端法記錄數據庫第一頁的大小[4]。

通過SQLite數據庫查看工具訪問History數據庫文件，并利用相應的SQL語句實現數據提取可以獲得用戶的瀏覽歷史記錄、搜索記錄、下載記錄、最常訪問記錄。

（二）搜索記錄

瀏覽器搜索記錄存儲用戶利用搜索引擎展開目標信息搜尋時在搜索框輸入的關鍵字信息，通過對搜索記錄信息的查找能有效幫助取證人員推測出用戶的目標行為。針對在逃不法分子的設備進行取證時，通過對其搜索記錄的分析有時候能夠推測并找出不法分子的出逃目的地和方式。EdgeHTML內核的用戶搜索記錄存儲在WebCacheV01.dat，Chromium內核的用戶搜索記錄存儲在History、B/Web Data和B/Shortcuts。

WebCacheV01.dat文件記錄的搜索記錄，包含用戶進行搜索操作產生的搜索關鍵字、訪問URL地址、網頁的最后訪問時間等信息；Web Data文件也屬于SQLite文件，對History和Web Data數據庫進行查詢可以獲取用戶搜索關鍵字、URL地址、最后訪問時間及訪問網頁的標題等信息。

（三）Cache緩存記錄

瀏覽器的Cache緩存將用戶打開過的網頁內容存儲在本地文件中，在取證過程中通過對緩存數據的提取一定程度上能夠還原用戶最近的上網現狀。EdgeHTML內核的Cache數據存放在WebCacheV01.dat、C/MicrosoftEdge/Cache和C/#!001/MicrosoftEdge/Cache(C表示位置/Packages/Microsoft.Windows-Edge_XXX/AC)，Chromium內核存放在B/Cache。通過對Cache緩存信息的取證可以獲取用戶緩存文件名、URL地址、文件大小、最后訪問時間、訪問次數、創建時間、文件類型、過期時間等信息。

（四）Cookie記錄

Cookie記錄將用戶瀏覽網頁時的使用的ID、密碼、停留時間等數據存儲在本地txt文件或數據庫中，通過對該類數據的解析有可能獲取用戶的登錄特定網站的賬號密碼信息。EdgeHTML內核的Cookie記錄存放在WebCacheV01.dat、C/MicrosoftEdge/ Cookies和C/#!001/MicrosoftEdge/Cookies，Chromium內核存放在B/Cookies。通過對Cookies數據的提取可以獲取用戶瀏覽站點的名稱、最后瀏覽時間及數據過期時間等信息[4]。

（五）書簽/收藏夾記錄

瀏覽器書簽、收藏夾功能記錄了用戶喜歡的網頁地址，幫助用戶快速找到目標網站。EdgeHTML內核的書簽記錄存放在D/Favorites和D/DataStore/Data/nouser1/xxx-xxx/DBStore/spartan.edb(D表示位置C/Microsoft/Edge/User/Default)，Chromium內核存放在B/Bookmarks。Favorites目錄下保存著用戶收藏書簽和書簽文件夾的信息，其該文件夾下每一個“.url”后綴名的文件就有一個書簽信息；spartan.edb是ESE數據庫文件采用ExChange存儲模式；Bookmarks是一個文本文件。

（六）閱讀列表記錄

EdgeHTML內核的閱讀列表記錄了用戶收藏起來的網絡文章、電子書網址、作者及最后訪問時間等信息，閱讀列表主要存放在spartan.edb。

（七）用戶、表單信息

Chromium內核的Edge瀏覽器將用戶個人賬號相關信息和網頁表單信息存儲在D/Web Data數據庫文件中，通過對用戶個人賬號相關信息和表單數據的取證有時候能幫助取證人員獲取到用戶的一些賬號、密碼及相關單據的信息。Web Data 數據庫文件存儲了用戶在特定網頁中填寫的表單內容、個人身份信息和搜索記錄等可能與個人隱私有關的數據，該類數據經過DPAPI和AES-GCM兩種加密算法進行數據加密，在取證過程中，需要先對加密數據進行解密，才能獲取得到正確的用戶使用信息。

（八）登錄信息

Chromium內核的Edge瀏覽器將用戶登錄信息存儲在D/Login Data數據庫文件中，用戶登錄各個網站使用的賬號和密碼數據存儲在Login Data數據庫logins表中[5]，獲取用戶的賬戶密碼對取證工作具有很大幫助，logins中的密碼值使用DPAPI進行加密。

三、Edge瀏覽器取證

Edge 瀏覽器使用歷史數據主要采用SQLite數據庫、ESE數據庫及普通文本三種形式進行數據存儲，同時利用 DPAPI、AES-GCM 加密算法對部分數據進行加密后存儲[5]。通過SQLite數據庫查看工具可以實現SQLite數據庫的數據讀取訪問進而達到取證的目的；存儲在ESE數據庫的數據可以利用二進制分析方式對ESE數據庫文件進行解析獲取證據，或者利用專門的ESE數據文件解析工具獲取目標證據獲取；采用文本形式存儲的數據可以通過文本閱讀或文本文件讀取實現文本取證。

四、結束語

網絡空間上的違法違規行為不可避免，雖然當前市面上的瀏覽器種類繁多，但是瀏覽器客戶端的信息存儲大同小異，Edge作為主流瀏覽器，針對該瀏覽器的取證方法可以運用到其他瀏覽器之中，幫助取證人員更加快速獲取不法分子在網絡上的不法行為。