初始化向量:Android Tor浏览器缩略图解析
数字取证与事件响应,信息安全万花筒。
2021年12月24日 星期五
Android Tor浏览器缩略图解析
Tor浏览器调查通常仅限于用户可能保存的书签。感谢Loicforensic@protonmail.com(无网络踪迹)的发现,我们可以在以下Android目录中定位已打开标签页的Tor浏览器缩略图:
|
|
缩略图文件以GUID格式命名,扩展名为.0。例如:8c7defaa-12b9-44f4-ae78-cc8850b92ab4.0
这些缩略图采用RIFF格式,包含在WEBPVP8容器中。可以通过Chrome浏览器直接打开查看。为便于分析,我为Android日志事件和Protobuf解析器(ALEAPP)框架制作了一个取证组件。使用Python中的PIL库,我们可以将文件转换为PNG格式以便于报告生成。
以下是ALEAPP的Tor缩略图报告。报告包含修改时间、转换为PNG的缩略图、文件名和文件位置路径。
ALEAPP可在此处下载:https://github.com/abrignoni/ALEAPP
感谢Josh Hickman(https://twitter.com/josh_hickman1)提供出色的Android 12测试镜像,使得该取证组件的开发成为可能。您可在此处获取他的Android 12测试镜像:https://thebinaryhick.blog/2021/12/17/android-12-image-now-available/
如有任何疑问或评论,可通过Twitter @AlexisBrignoni 或邮箱4n6[at]abrignoni[dot]com与我联系。
发布于 2021年12月24日