警察有可能如何恢复您已删除的互联网浏览历史记录 - iYouPort
警察有可能如何恢复您已删除的互联网浏览历史记录
- 本文是为寻找可以阻止这种取证手段的安全建议
3年前我们做过一个小游戏《 浏览历史记录曝光你的内心全景图:开源调查演示 》。这些年来已经有越来越多的人们了解到了互联网浏览历史记录的危险性,安全建议也在不断提醒人们定时删除记录。但也许很多人没想到,警察可以恢复已经被删除的记录。
这是所谓的 “数字取证” 的一部分。
如果您错过了《 数字取证正在泛滥:政府可以从你的手机中提取哪些数据? 》、以及《 让政府机构从您使用的应用程序中提取大量数据的秘密技术:云取证 》、和《 警察查手机的东西长什么样? — — 从技术角度看移动设备取证 》。
下面将解释警察如何做到这点。
互联网浏览历史记录可能被删除的原因有很多:
- 用户手动清除了历史记录
- 浏览器删除了历史记录(例如,Chrome浏览器删除超过90天的历史记录)
- 浏览器覆盖或删除了临时数据,例如会话标签
- 用户执行了一个动作,如删除了一个书签
但警察可以利用微软 Windows 中的卷影复制(Volume Shadow Copy Service)来访问历史数据。卷影复制服务是 Windows 中的一项技术,用于在一个时间点上获取数据的快照。它被用来提供大多数人都熟悉的 Windows 系统还原功能。
根据卷影复制的创建时间和它们被保留的时间,警察可能能够从其中恢复被删除的互联网历史记录。为了利用这个额外的数据源,要使用 浏览器历史记录检查器(BHE) 这个工具,以便从卷影复制中捕获互联网历史。
在执行捕获时,更新后的 BHE 有一个 “已删除的历史记录” 数据选项。
启用该选项后,BHE将处理目标机器中的每个卷影复制,并捕获互联网历史数据,如书签、cookies、下载、表格历史、保存的登录信息、搜索历史和网站历史。从每个卷影复制中捕获的数据被放在一个文件夹中,如 …\Capture\Archived\636346002001469356。最终的文件夹名称是卷影复制创建时的时间戳。
这个功能可以与远程捕获功能一起工作,允许警察从远程 Windows 电脑上恢复已删除的互联网历史记录 。
浏览器历史记录文件以其原始格式捕获,因此取决于卷影复制的创建频率,数据可能存在重复。为了简化这一过程,BHE自动删除重复的互联网历史记录。用户可以简单地将捕获的历史数据加载到BHE中,在卷影复制中发现的任何其他历史数据也将被加载。
下面的截图显示了从一台测试机器上捕获的历史记录数据,可以追溯到2017年7月3日。此时,已删除的历史记录没有作为该捕获的一部分被收集。
然后从同一台机器中重新捕获历史记录,但这次使用已删除的历史记录选项从卷影复制收集数据。现在得到的历史数据可以追溯到 2017 年 6 月 19 日,另外还有 200 多次网站访问。
通过在互联网历史记录捕捉过程中简单地检查新的 “已删除的历史记录” 选项,取证者能够轻松地捕捉和分析广泛的互联网历史信息,否则这些信息可能已经丢失,无法恢复。
浏览器历史记录检查器的免费试用 版可从这里 获得。
最后
这就是为什么我们在 “ 变得难以被追踪 ” 系列中建议,如果您正在计划做的是非常敏感的事(类似吹哨的危险程度,或者您认为非常有可能导致您被定罪的行动),就最好不要使用自己的电脑。换句话说,您能做的最好的事/最简单的事就是,不要让设备和您的身份联系起来,以取消历史记录中的身份 “签名”。
但这不是偷一台电脑那么容易。如果您对此感兴趣,可参见第3集中的描述《 与S先生共度美好一天 — 反取证技巧:变得难以被追踪的简单方法(3) 》。
除此之外您还有其他更好的办法吗?欢迎在评论区留言。⚪️
Recovering deleted internet history from Volume Shadow Copies
文章版权归原作者所有。
