2024年5月9日发(作者:)
第39卷 第1期
计算机工程
2013年1月
V0l-39
NO.1
Computer Engineering
January 2013
・开发研究与设计技术・ 文章缩号t 100 一3428(2013)01-_0313—_05 文献标识码。A 中圈分类号l TP391
IE8.0登录信息保护机制的缺陷分析与利用
张航,吴灏,许蓉
(国家数字交换系统工程技术研究中心,郑州450002)
摘要:为有效获取Windows 7操作系统自带IE 8.0浏览器的登录信息,从存储策略和加密机制2个方面,对IE登录信息
的保护机制进行分析,研究保护机制的不足,根据用户对IE的安全设置,提出拦截历史记录的还原方法。在拦截用户访问
网站地址的基础上,筛选出登录信息对应的网站地址,获取解密密钥,得到用户自动保存的登录信息。实验结果表明,该
方法能够在用户进行安全设置后,有效获取用户自动保存的登录信息。
关健词:Windows 7操作系统;浏览器;登录信息;保护机制;存储策略
Analysis and Utilization of Flaw
f0r IE8.0 Login Inf0rmation Protection Mechanism
ZHANG Hang,WU Hao,XU Rong
(National Digital Swich System Engineering&Technological R&D Center,Zhengzhou 450002.China)
[Abstract]In order to get the browser IE8.0 login information of Windows 7 operating system,by analyzing two aspects of the
login information storage policy and encryption mechanism,in the study of the shortcomings of the protective mechanism.For
user’S security settings for IE,this paper proposes a reduction method to intercept the historical records.On the basis of the
interception user access the Web site address,it filters out the Web site address to obtain the decryption key,and gets the login
information which is automatically saved by users.Experimental results show that this method can effectively obtain the user’S
login information which is established by user’S securiyt settings.
[Key words]Windows 7 operating system;browser;login information;protection mechanism;storage strategy
DOI:10.3969/j.issn.1000-3428.2013.01.069
1概述
便用户使用,网站在获得用户同意保存登录信息的前
信息技术与网络的飞速发展,使得犯罪分子利用
提下,对登录信息进行加密处理并保存在用户机器
计算机系统作为犯罪工具或目标的事件屡见不鲜。因
中,实现随后自动登录网站的功能。
此,电子取证成为日渐重要的证据组成。然而,信息
在IE7.0之前,自动保存密码的功能是由系统的
技术的发展,同样使得计算机的系统安全有了很大
Protected Storage服务完成的。用户的登录信息经数
提升。
据保护应用程序编程接口(Data Protection Application
现在广泛使用的Windows 7操作系统在延续
Programming Interface,DPAPI)]J ̄密后保存在注册表
Windows Vista安全特性的基础上,最大程度保证了
的受保护存储区中[3-4J。
兼容性。Windows 7操作系统通过采用大量的安全机
尽管Protected Storage是安全账号管理服务,微
制提升系统安全,有力地保护了用户信息的安全。这
软却提供了PStore接口用于对受保护的存储区进行
使得计算机犯罪取证[I-21愈发困难。
访问。攻击者通过PStoreCreateInstance()函数接收接
在用户使用浏览器上网时,许多网站采用用户名/
口指针,对注册表中受保护的存储区进行访问,并利
密码对作为登录信息对用户身份进行标识。为了方
用DPAPI的解密函数对登录信息进行还原操作。
作者简介:张航(i986一),女,硕士,主研方向
网络安全;吴灏,教授;许蓉,硕士
收稿日期:20'I I-10-18 修回日期:201 1-12-01
E-mail:minimouse100@126.com
314 计算机工程 2013年1月15日
目前,已有诸如Protected Storage PassView等多
后,最终生成网站标识。
种工具实现了对受保护的存储区信息的还原。
IE 8.0作为Windows 7自带的浏览器,采用了更
2.2.2加密登录信息的生成
存储在注册表中的二进制数据的生成过程如下:
在用户同意自动保存登录信息后,IE使用该网站的明
文URL作为加密密钥,使用DPAPI的加密函数
加完备的保护机制保护自动存储的用户登录信息,它
不再将用户的登录信息保存在受保护的存储区中,而
是根据登录信息的类型采用不同的加密存储策略 J。
IE浏览器保存的第1类登录信息为自动存储的信息;
第2类登录信息为基于HTTP认证的信息。
由于登录信息存放在本机中,取证人员可采取各
种方式对加密处理的信息进行还原。本文基于
Windows 7操作系统,对IE浏览器中存储的第1类登
录信息的保护机制进行分析,通过研究其采用的加密
CryptProtectData()对登录信息进行加密操作,生成的
数据即为存储在注册表Storage2中的二进制数据。
Windows 7默认安装IE 8.0,在用户同意自动保
存登录信息后,IE对登录信息进行加密处理,并将结
果保存在注册表的如下位置:
HKEYCURRENT
USER\USER\SOftware\Micr0sOfl\InternetExp1
——
0rer\InteIliForms\Storage2
机制以及存储策略,从而发现在信息保护机制中存在
的安全隐患,在总结现有对抗还原方法的前提下,提
出一种绕过该安全机制的方法。
Storage2中存储2项内容:二进制数值名称即网
站标识;二进制数据即经加密处理的用户登录信
息I1 j。IE自动保存登录信息的流程如图1所示。
2 IE采用的加密存储机制及安全性分析
2.1保护登录信息的加密算法
为了保证敏感信息的安全,Windows 7会对其进
行加密处理。针对IE8.0存储的自动登录信息,通常
采用安全哈希算法(Secure Hash Algorithm,SHA-1) J
和DPAPI[7-8]2种加密方式进行加密保护。
安全哈希算法用于从264位的信息中产生160位
的信息摘要,从而验证经传输后的数据完整性。安全
哈希算法有以下特性:无法从生成的消息摘要中还原
初始信息;不同的初始信息不能产生相同的消息
摘要。
DPAPI接口提供加密函数cryptProtectData()、解
密函数cryptunprotectData()2个函数。通过这2个函
数,对应用程序提供系统级的数据保护服务。这2个
函数位于Crypt32.dll中。提供基于密钥的数据加
解密。
在默认情况下,密钥即为登录操作系统的用户口
令,由于该IZl令仅有管理员知道,因此攻击者无法得
图1 IE自动保存登录信息的漉程
到而进行解密操作,从而保证了敏感信息的安全。
2.2 IE敏癔信息加密存储机制
2.2.1 网站标识的生成原理
网站标识是经散列变化的网站统一资源定位符
(Uniform/Universal Resource Locator,URL)信息,用于
2.3安全性分析
根据2.1节、2.2节分析的加密存储机制可知,
在注册表中,其所保存的登录信息的安全主要依赖于
SHA.1散列函数的单向不可逆特性,即攻击者无法根
据存储的网站标识逆向推出对应的网站明文URL,从
而无法得到登录信息的加密密钥,最终无法对存储的
登录信息进行还原。
标识存储登录信息的网站地址。存储在注册表中的网
站标识长度为168 bit(21 Byte)。在用户同意自动登录
网站时, IE首先对该网站的URL采用SHA一1变化生
成160 bit的密文摘要,然后将该密文摘要转化为
l6进制,再将每个字节对应的l6进制数值进行相加
得到长度为1 Byte的附加值,附加在生成的密文摘要
3 登录信息的安全隐患及现有信息获取手段、
3.1安全隐患分析
尽管Windows 7自带的IE8.0对登录信息采甩了
更加完备的保护策略,然而,它同样存在着一定的安.
第39卷第1期 张航,吴灏,许蓉:IE8.0登录信息保护机制的缺陷分析与利用 315
全风险。
根据2.3节的安全性分析可知,若能够得到登录
信息对应的网站明文URL,即可对存储在注册表中的
登录信息进行还原。然而,由于无法从网站标识逆向
出明文URL,因此取证人员需要采取一定的手段通过
其他途径进行获取。
3.2现有信息获取手段及不足
3.2.1现有信息获取手段
由于IE历史记录记录了最近一段时间用户浏览
过的网站URL,因此取证人员可以通过读取IE存储
的历史记录对URL信息进行获取。微软提供了一系
列API函数对IE缓存进行处理,其中,包括对历史
记录的读取,取证人员可通过EnumUrls函数逐条对
历史记录进行读取,并按照2.2.1节所述网站标识
的生成方式,对记录进行处理,直到找出正确
的URL。
3.2.2现有信息获取手段的不足
尽管3.2.1节提出的方法可以有效获取登录网站
的URL,但是,若用户对IE属性进行安全设置,选
择“退出时删除历史记录”,则在用户退出浏览器的
同时,IE将清空历史记录中存储的信息。这样,取证
人员就无法获取历史记录信息,从而无法对登录信息
进行还原。
4基于拦截历史记录操作的还原方法
用户在3.2.2节中的安全设置将使攻击者无法读
取存储的历史记录信息,进而无法匹配出生成网站标
识的URL,最终无法获取注册表中存储的登录信息。
针对3.2.2节中的安全设置,本文提出一种新的
方法,该方法能够在用户设置“退出时删除历史记录”
的前提下,有效获取用户登录网站的URL,并在此基
础上_,筛选出注册表中网站标识对应的URL,最终实
现登录信息的还原。对登录信息的还原共分3个步骤,
即URL的提取、加密密钥的获取(网站标识的还原)、
登录信息的还原。
4.1 URL的提取
根据一定的测试分析得知,若用户选择“退出时
删除历史记录”,仅是在用户使用完毕IE浏览器,单
击关闭退出时,IE的IExplorer.exe进程调用
Shdocvw.dll,清空历史文件index.dat中存储的历史记
录信息。在IE浏览器尚未关闭,即IExplorer.exe进
程未终止执行时,IE仍旧会将用户访问的网站URL
写入本地历史记录文件中。
IE历史记录是IE缓存的内容之一,主要依赖于
wininet库进行管理。用户本机从网络上接收到的任
何信息都将被缓存到硬盘中,在后续请求中被获取,
息
恢复上下文
(b)改变后的程序流程
图2 漉程改变前后程序执行情况对比
4.2加密密钥的获取
在完成4.1节的前提下,即可对注册表中的网站
标识进行还原,获取用户登录信息的加密密钥。获取
思路为:逐条提取4.1节中获取的URL信息,根据网
站标识的生成原理,对URL信息进行处理,并将处
理结果与存储在注册表中的网站标识进行对比,若匹
配成功,则该URL即为登录信息的加密密钥。加密
密钥的获取流程如图3所示。在成功提取出加密密钥
后, 即可对登录信息进行还原。
316 计算机工程 2013年1月15日
圈3加密密钥的获取漉程
4.3登录信息的还原
在完成4.2节的工作后,即可对注册表中存储的
登录信息进行还原。还原思路为:使用4.2节中获取
的加密密钥作为解密函数CryptUnprotectData0f ̄第
二密钥熵,还原存储在注册表中的登录信息。还原后
的数据结构如下:
struct IEAutoSecretHeader
{
DWORD dwSize;
DWORD dwSecrcⅡnf0Size:
DWORD dwSecretSize;// ̄录信息长度
SecretEntry secEntries[numSecrets];//登录信息头
WCHAR secrets[numSecrets];//登录信息
}
secEntry结构如下:
struct SecretEntry
{
DWORD dwOffset;//rd ̄录信息与入口的偏移
BYTE SecretId[8];
DWORD dwLength;
}
secEntry的dwOffset参数定义了真实的登录信息
距离secEntry的偏移。因此,根据该参数可以定位登
录信息位置,进而获取真实的登录信息。
5实验验证
本文在Windows 7 Home Basic 32/64 bit、
Windows 7 Ultimate 32 bit中进行测试。实验共分
2个部分:(1)获取保存登录信息的网站URL。(2)对
注册表中存储的登录信息进行还原。
5.1网站URL获取
测试方法:分别在不设置“退出时删除历史记录”
和设置“退出时删除历史记录”2种情况下,使用
3.2.1节与4.1节中的方法进行测试。
测试步骤如下:
(1)打开IE浏览器浏览网站,在IE选项卡中,不
选择“退出时删除历史记录”,分别使用3.2.1节和
4.1节方法对历史记录中存储的信息进行读取。
(2)打开IE浏览器浏览网站,在IE选项卡中选择
“退出时删除历史记录”,使用3.2.1节提出的方法对
历史记录中存储的信息进行读取。
(3)打开IE浏览器浏览网站,在IE选项卡中,依
旧选择“退出时删除历史记录”,使用4.1节中提出
的方法对历史记录中存储的信息进行读取。
测试结果:在步骤(1)中,使用3.2.1节和4.1节中
的方法均可获取历史记录信息。未设置IE选项后读
取的历史记录如图4所示。
图4未设置IE逸项后读取昀历史记录
在步骤(2)中,使用3.2.1节方法没有获取任何历
史记录信息。
在步骤(3)中,使用4.1节方法可以获取历史记录
信息,设置IE选项后读取的历史记录如图5所示。
lll 5设置IE造项后读取的历史记录
第39卷第1期 张航,吴灏,许蓉:IE8.0登录信息保护机制的缺陷分析与利用 317
测试结果表明,通过拦截IE对历史记录的清空
ACM SIGOPS Operating Systems Review,2008,42(3):
操作,能够在用户选择“退出时删除历史记录”的前
65.73.
提下,有效获取存储在历史记录文件中的URL信息。
[2]Bex F,Koppen P Prakken H,et a1.A Hybrid Formal
5.2登录信息还原
Theory of Arguments,Stories and Criminal Evidence[J].
测试方法:采用4.2节、4-3节方法对注册表中
Artiifcial Intelligence and Law,2010,18(2):123—152.
存储的登录信息进行还原测试。
[3】Alhafli K,Jones A,Martin T Forensic Analysis of the
测试步骤如下:
Windows 7 Registry[EB/OL].f2010—1 1-21).http://www.
(1)根据4.2节方法,获取加密密钥。
forensicfocus.com/index.php?name=Content&pid=73&pa
ge=7.
(2)根据4.3节方法,还原注册表中存储的登录
信息。
[4】通过Protected Storage获取账号信息[EB/OL].(2010-
测试结果及分析:使用本文方法,能够有效获取
01-21).http://publish.it168.com/2007/0705/20070705036
501.shtm1.
加密密钥以及用户登录信息。从注册表中还原的登录
[5】 Canetti R,Halevi S,Steiner M.Mitigating Dictionary
信息如图6所示。
Attacks on Password-protected Local Storage[C]//Proc.of
加密密钥:http://www.renren.com/
the 26th Annual International Conference on Advances in
用户名:minimouse100@126.corn
Cryptology.Berlin,Germany:Springer-Verlag,2006.
密码:l qaz3edc@5tgb
[6]张松散,陶荣,于国华.安全散列算法SHA.1的研
加密密钥:http://www.amazon.cn/ap/signin
究[J].计算机安全,2010,(10):3-5.
用户名:Alicel 15782@126.tom
[7] Burzstein J E Recoveirng Windows Secrets and EFS
密码:123abe@txt
Certiifcates Offline[C]//Proc.of the 4th USENIX
图6从注册表中还原的登录信息
Conference on Offensive Technologies.Berkeley,USA:
USENIX Association,2010.
6结束语
[8】Han Ji—Sung,Lee Keun—Gi,Joonho C,et a1.Analysis of
本文针对Windows7操作系统自带的IE浏览器,
Connection Information for Database Server Detection[C]#
通过对其登录信息采用的加密存储机制进行分析,提
Proc.of the 2nd International Conference on Computer
出在用户对IE进行安全设置的前提下,采用拦截历
Science nad Its Applications_【S.1.]:IEEE Press,2009.
史记录操作的方法,进行突破、获取用户的登录信息。
[9]Bellare M,Canetti R,Krawczyk H_Keying Hash Func-
实验结果表明,该方法能够在用户进行安全设置的情
tions for Message Authentication[C]//Proc.of the 1 6th
况下,获取用户自动登录的IE登录信息。下一步将
Annual International Cryptology Conference on Advances
要研究如何对用户未选择自动保存的登录信息进行
in Cryptology.London,UK:Springer-Verlag,1 996.
获取。
[10】Matthew C.Interent Explorer rAchitecture[EB/OL].(2010-
参考文献
11-21).http://msdn.microsoft.com/en-us/library/aa741311
[1]Sutherland I,Evans J,Tryfonas T,et a1.Acquiring
(v=vs.85).aspx.
Volatile Operating System Data Tools and Techniques[J].
编辑刘冰
(上接第312页)
[9]Erez B Yonina E.A Fast and Flexible Mehtod for the
[12】Adam B,Olshen E,Venka ̄aman S.Circular Binary
Segmentation of aCGH Data[J].Bioinformatics,2008,
Segmentation for the Analysis of Array—based DNA Copy
24(16):139-145.
Number Data[J].Biostatistics,2004,5(4):557—572.
[10]Gaellla M,Benjanim R S,Montserrat G C,et a1.
[13]Venka ̄aman E S,Adam B 0.A Faster Circular Binary
Assessment of Copy Number Variation Using the Illumina
Segmentation Algorithm for the Analysis of Array CGH
Infinium 1M SNP—array:A Comparison ofMethodological
Approaches in the Spanish Bladder Caneer/EPICURO
Data[J].Bioinformatics,2007,23(6):657-663.
Study[J]_Human Mutation,201 1,32(2):240-248.
[14】Illumina Corporation.DNA Copy Number Analysis
[1 1】Illumina Corporation.DNA Copy Number and Loss of
Algorithms[EB/OL].(2010-08-21).http://www.pasteur.fr/
Heterozygosity Analysis Algorithms[EB/OL].(2010-
iD/rIortal/action/WebdriveActionEvent/oid/0 1 s.00003f-00.
1 1-21).http://www.illumina.tom.
编辑刘冰
发布评论