[论文解读] Ubuntu One Investigation: Detecting Evidences on Client Machines
本文研究了在 Windows 8.1、macOS 和 iOS 设备上的 Ubuntu One 云存储服务所产生的数字取证痕迹。通过模拟常见的用户操作——上传、下载、查看和删除文件——识别出持久性和易失性证据,如数据库、日志文件、内存痕迹和网络流量,为数字取证调查人员提供了针对 Ubuntu One 客户端系统的全面取证框架。
STorage as a Service (STaaS) cloud services has been adopted by both individuals and businesses as a dominant technology worldwide. Similar to other technologies, this widely accepted service can be misused by criminals. Investigating cloud platforms is becoming a standard component of contemporary digital investigation cases. Hence, digital forensic investigators need to have a working knowledge of the potential evidence that might be stored on cloud services. In this chapter, we conducted a number of experiments to locate data remnants of users' activities when utilizing the Ubuntu One cloud service. We undertook experiments based on common activities performed by users on cloud platforms including downloading, uploading, viewing, and deleting files. We then examined the resulting digital artifacts on a range of client devices, namely, Windows 8.1, Apple Mac OS X, and Apple iOS. Our examination extracted a variety of potentially evidential items ranging from Ubuntu One databases and log files on persistent storage to remnants of user activities in device memory and network traffic.
研究动机与目标
- 识别用户与 Ubuntu One 云存储服务交互后在客户端计算机上留下的数字取证痕迹。
- 研究用户操作(如文件上传、下载、查看和删除)在不同操作系统上留下的可追踪证据。
- 为数字取证调查人员提供一种系统化的方法,用于检测和提取来自 Ubuntu One 客户端系统的证据数据。
- 评估在包括 Windows 8.1、macOS 和 iOS 在内的多种客户端平台中,取证痕迹的持久性和可访问性。
提出的方法
- 通过受控实验模拟用户对 Ubuntu One 服务的标准交互操作:上传、下载、查看和删除文件。
- 收集并分析运行 Windows 8.1、macOS 和 iOS 操作系统的客户端设备上的数字取证痕迹。
- 检查持久存储(如数据库、日志文件)和易失性内存(如进程痕迹、网络会话数据)中的证据。
- 使用标准的数字取证工具和技术提取并分析文件系统元数据、注册表项和网络流量日志。
- 映射三种操作系统中 Ubuntu One 特定数据存储和配置文件的位置与结构。
- 将用户操作与系统痕迹中的可观察变化相关联,以建立取证关联。
实验结果
研究问题
- RQ1用户将文件上传至 Ubuntu One 后,客户端计算机上会留下哪些类型的数字取证痕迹?
- RQ2不同操作系统(Windows 8.1、macOS、iOS)如何保留 Ubuntu One 用户活动的证据?
- RQ3可以从 Ubuntu One 客户端应用程序中恢复哪些持久性和易失性取证痕迹?
- RQ4文件删除操作如何影响 Ubuntu One 客户端系统中取证痕迹的持久性?
- RQ5在 Ubuntu One 操作过程中,可以从网络流量中提取哪些证据?
主要发现
- Ubuntu One 在所有测试平台(包括 Windows 8.1、macOS 和 iOS)的持久存储中留下了可识别的数据库文件和日志文件。
- 文件元数据、同步状态和用户活动日志等证据可从客户端数据库和配置文件中恢复。
- 在 Ubuntu One 活动期间检测到易失性内存痕迹,包括进程信息和网络会话数据。
- 网络流量分析揭示了与文件同步和身份验证相关的可识别模式,即使在文件删除后依然存在。
- 在 Windows 和 macOS 上的临时目录和系统缓存中发现了已删除文件的残留数据,但在 iOS 上并未一致出现。
- 本研究证实,取证痕迹存在于多个层面——文件系统、内存和网络——支持多源证据收集。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。