文章插图
写在前面的话
首先我要声明的是,我这篇文章中所要描述的内容并没有涉及到的漏洞,而且整个过程也与漏洞利用无关 。在这篇文章中,我准备告诉大家如何在信息取证的过程中尽可能地从内存中提取出我们所需要的数据,而且在某些情况下,我们还得要求这些数据必须是明文形式的有效数据 。
最近,我正在阅读《内存取证的艺术》这本书[购买地址],如果你对数据取证这一方面感兴趣的话,那么这本书是我强烈推荐的 。在本书的部分章节中,作者对如何从浏览器中提取出用户密码进行了讨论 。当你使用标准的登录方式来登录某个网站时,你所输入的用户名和密码将会以POST请求的形式发送至远程Web服务器 。而需要注意的是,此时你的用户名和密码均是以明文的形式发送的 。在此,我并不打算讨论关于SSL的内容,其实在SSL内部,这些数据仍然是明文形式的 。
接下来,本书的作者继续讲述了如何定位这些POST请求,并尝试将这些请求数据提取出来 。如果你刚好“逮到”了一个刚刚完成登录操作的浏览器,那么这种方法对你来说可能会非常有用 。但如果用户使用了一个(会话)来进行登录的话,那么你可能就无计可施了 。
在我阅读本书的过程中,我无意中看了一眼我的浏览器,我发现我的插件图标上显示了一个数字1 。这也就意味着已经帮我把当前这个域名的登录凭证保存下来了 。
文章插图
正常情况下,如果我访问了某个网站的登录页面,而我又开启了浏览器的“自动填写表单”功能,那么就会自动将该域名的凭证数据填写至登录表单中,然后浏览器将会通过POST请求来发送这些凭证数据 。当然了,前提是我已经将该域名的凭证保存在中了 。
但是我现在想要弄清楚的是,中存储的凭证数据到底是何时被解密的 。是当页面中出现了表单域的时候呢,还是当域名被加载完成的时候?于是我准备搭建一个测试环境,让我们来看一看真相到底是什么!
环境搭建
我想要在内存中完成所有的操作,所以我必须找到一种简单的、可重复进行的方法来实现在内存中搜索数据 。
最简单的方法就是当我每次对浏览器进行了修改操作之后,立刻进行一次内存转储(mem dump) 。在虚拟机的帮助下,我只需要在每次修改之后创建一个快照()就可以了 。这样一来,每次修改之后我都能够得到一份内存数据的拷贝,然后就可以进行数据对比了 。
接下来,我要安装几个目前最为常用的浏览器,例如、IE、或者火狐 。然后配置好插件(全部采用默认配置),并且使用该插件来生成并存储不同长度的密码,所有的密码都只包含字母与数字 。除此之外,我还将所有的这些密码全部拷贝到了一份文档内,并将其保存在主机中 。
完成这些操作之后,我退出了所有的账号,清除了浏览器的历史记录和临时文件,并且重启了设备 。
实验方法
环境的搭建算是比较简单的了,但是实验过程可能会稍微有点复杂 。实验的操作步骤大致如下:
1. 打开浏览器
2. 登录插件
【手机lastpass使用教程lastpass怎么用指纹解锁】3. 登录网站
4. 检查内存中是否出现了明文密码
5. 完成修改操作(关闭网页标签、恢复网页标签、注销)
文章插图
6. 不断重复这些操作
实验一
首先,我打开了第一个网站—,然后登录了一个临时的账号 。当我登录成功之后,我又访问了好几个其他的页面 。这一系列操作完成之后,我并没有关闭这些网页标签,而是直接创建了一个快照 。
- 淘宝手机单怎么刷赚钱(教会你用手机刷单的操
- 大白菜启动盘怎么用进入 大白菜启动盘怎么用-
- 老人手机排行榜10强,操作简单且实用的老人机
- 滑动变阻器的接法?滑动变阻器的连接和使用
- cdr文件用什么打开?教你如何使用CorelDRAW打开ai文件
- 睡觉时手机能放枕边床边吗?放多远安全?
- 苹果十二二手机今日市场价格
- 老人手机排行榜十强,适合老人的直板机推荐
- 手把手教你做电商 手机怎么在网上卖东西
- fastboot模式及功能解读 手机上显示fastboot是什么意思