如何利用WebAssistDatabase进行数字取证分析？

Microsoft Edge（Chromium版本）中存在一个值得深入探索的新型数据库——WebAssistDatabase。该数据库包含互联网历史记录，在数字取证调查中具有潜在价值。

数据库结构分析

WebAssistDatabase包含三个数据表：

meta
navigation_history
product_entities

其中navigation_history表在取证分析中最具实用性，其架构如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


CREATE TABLE navigation_history (
    url VARCHAR NOT NULL PRIMARY KEY,
    id INTEGER,
    title VARCHAR,
    metadata VARCHAR,
    last_visited_time INTEGER NOT NULL DEFAULT 0,
    num_visits INTEGER NOT NULL DEFAULT 1,
    product_entity_id VARCHAR,
    semantic_encoding VARCHAR,
    locale VARCHAR,
    titledata VARCHAR,
    urldata VARCHAR,
    page_profile VARCHAR
);

关键字段识别

url：访问的网址
title：页面标题
last_visited_time：最后访问时间（标准Unix时间戳）

虽然其他字段也有其设计用途，但在数字取证调查中可能不如上述字段实用。metadata字段可能包含网页关键词（有时会缺失字母），但其具体用途尚不完全明确。

实际观察发现

通过对多个系统的分析，得出以下观察结果：

配置文件关联：与历史记录类似，每个用户配置文件都有一个对应的WebAssistDatabase
历史记录时间范围：可能保存超过90天的历史记录。在测试系统中，最早的last_visited_time可追溯至2023年8月1日（超过90天限制），另一个系统甚至可追溯至几年前
数据删除行为：从互联网历史记录中删除条目时，WebAssistDatabase中的相应URL也会被更新
跨平台存在：该数据库在Mac和Windows系统上均存在（推测在所有运行Edge的平台都存在）
日志文件：存在WebAssistDatabase-Journal文件，在Mac上当前为空文件

工具集成进展

目前已有同事创建了SQLecmd映射（仅包含关键字段），并已提交拉取请求。同时也已提交更新KAPE Edge Chromium目标的请求。虽然开发了Velociraptor工件，但随着新SQLite猎手功能的推出，暂时无需推送到代码库。

主要应用场景

该数据库的主要价值在于能够查看比标准90天限制更久的互联网历史记录，为数字取证调查提供更长时间范围的数据支持。

探索Microsoft Edge的WebAssistDatabase：数字取证新发现

本文深入分析Microsoft Edge浏览器中的WebAssistDatabase数据库结构及其在数字取证调查中的应用价值，包括数据库表结构、历史记录存储特性及跨平台存在情况。