我在使用 Windows 11。
我上周从一个 Web 应用程序下载了几个 PDF 文件,我想知道确切地我如何获得它们(即:有关整个过程的所有可能的元数据和信息)。
我的具体问题是,我曾使用许多不同的用户帐户登录和退出该网站(出于测试目的)。我现在想确定我为每个 PDF 文件使用了哪个帐户。该网站是一个非常简单的 PHP Web 应用程序。当您登录时,它会发出 POST 请求,有效负载为name=foo&password=bar。
PDF 文件中有关属性 ( right click -> properties) 的详细信息很少:
时间戳: 2023/05/12 09:50
类型:Microsoft Edge PDF 文档
Get-ChildItem filename.pdf | Format-List *没有添加任何东西。
Edge“下载”仅显示日期。但在数据库 ( C:\Users\%USERNAME\AppData\Local\Microsoft\Edge\User Data\Default\History) 中,有更多详细信息:我总共访问了下载 PDF 的 Web 目录 37 次。
也许这个问题的变体是:“POST 请求参数是否存储在客户端的某个地方,无论是通过浏览器还是某些系统日志?”
因此,我正在寻找想法、建议、取证工具和操作系统文档,以帮助我深入调查并尽可能多地追踪。我明白这是一个服务器端问题 — 正如 @schroeder 在评论中指出的那样 — 但我只是很好奇。
我第一次提出这个问题https://security.stackexchange.com/(由于安全和取证方法)但被自动迁移到这里。
更新
按照@joep-van-steen 的建议,使用 DMDE 给我这个:
LBA:27057216 vol.sec:27057216 Clus:3382152 sec:0 rec:0
00000: 25 50 44 46 2D 31 2E 33 0A 33 20 30 20 6F 62 6A %PDF-1.3.3 0 obj
00010: 0A 3C 3C 2F 54 79 70 65 20 2F 50 61 67 65 0A 2F .<</Type /Page./
00020: 50 61 72 65 6E 74 20 31 20 30 20 52 0A 2F 52 65 Parent 1 0 R./Re
00030: 73 6F 75 72 63 65 73 20 32 20 30 20 52 0A 2F 43 sources 2 0 R./C
00040: 6F 6E 74 65 6E 74 73 20 34 20 30 20 52 3E 3E 0A ontents 4 0 R>>.
00050: 65 6E 64 6F 62 6A 0A 34 20 30 20 6F 62 6A 0A 3C endobj.4 0 obj.<
00060: 3C 2F 46 69 6C 74 65 72 20 2F 46 6C 61 74 65 44 </Filter /FlateD
00070: 65 63 6F 64 65 20 2F 4C 65 6E 67 74 68 20 37 31 ecode /Length 71
00080: 39 3E 3E 0A 73 74 72 65 61 6D 0A 78 9C AD 96 5B 9>>.stream.xœ–[
...等等...这里什么都没有...
和:
Entry Size: 96
Attr. Size: 80
Flags: 0
Dir MFT Num: > 144905 (68 )
Creation Time: 2023-05-12 12:50:36.212
Modification Time: 2023-05-12 12:50:36.880
Change Time: 2023-05-13 20:16:19.056
Access Time: 2023-05-18 01:40:25.940
Allocated Size: 634880
Size: 632787
Attributes: 20
Name Length: 7
Name POSIX: 3
Name: doc.pdf
答案1
不可能。浏览器不会保留这样的事务日志。浏览历史记录中只会存储您访问的页面的 URL。与这些访问相关的请求标头和请求正文都不会保留。
除非文件本身是根据下载者动态生成的,否则您将无法找出所使用的帐户。
不过,您可以查看周围的活动以获取提示。如果帐户名称在某个时候出现在页面标题上,则可能已记录在您的浏览器历史记录中。或者您可能访问了 URL 中包含帐户 ID 的个人资料页面。
答案2
我不知道它是否有帮助,但我会让你自己决定。
假设文件保存到 NTFS 驱动器,则下载的文件会获得附加的备用数据流。
因此,如果我查看下载的 PDF,我们会看到:
如果我“转储”该属性的整个数据流:
0000: 5B 5A 6F 6E 65 54 72 61 6E 73 66 65 72 5D 0D 0A [ZoneTransfer]..
0010: 5A 6F 6E 65 49 64 3D 33 0D 0A 52 65 66 65 72 72 ZoneId=3..Referr
0020: 65 72 55 72 6C 3D 68 74 74 70 73 3A 2F 2F 6E 65 erUrl=https://ne
0030: 70 70 2E 6E 61 73 61 2E 67 6F 76 2F 66 69 6C 65 pp.nasa.gov/file
0040: 73 2F 31 33 35 38 32 2F 30 37 2D 31 30 30 25 32 s/13582/07-100%2
0050: 30 53 68 65 6C 64 6F 6E 5F 4A 50 4C 25 32 30 44 0Sheldon_JPL%20D
0060: 69 73 74 72 75 62 25 32 30 54 65 73 74 69 6E 67 istrub%20Testing
0070: 25 32 30 69 6E 25 32 30 46 6C 61 73 68 25 32 30 %20in%20Flash%20
0080: 4D 65 6D 2E 70 64 66 0D 0A 48 6F 73 74 55 72 6C Mem.pdf..HostUrl
0090: 3D 68 74 74 70 73 3A 2F 2F 6E 65 70 70 2E 6E 61 =https://nepp.na
00A0: 73 61 2E 67 6F 76 2F 66 69 6C 65 73 2F 31 33 35 sa.gov/files/135
00B0: 38 32 2F 30 37 2D 31 30 30 25 32 30 53 68 65 6C 82/07-100%20Shel
00C0: 64 6F 6E 5F 4A 50 4C 25 32 30 44 69 73 74 72 75 don_JPL%20Distru
00D0: 62 25 32 30 54 65 73 74 69 6E 67 25 32 30 69 6E b%20Testing%20in
00E0: 25 32 30 46 6C 61 73 68 25 32 30 4D 65 6D 2E 70 %20Flash%20Mem.p
00F0: 64 66 0D 0A 00 00 00 00 df......
有时流是非驻留的并且包含更多数据,例如:
LBA:18739016 vol.sec:18171720 Clus:2271465 sec:0 rec:0
0000: 5B 5A 6F 6E 65 54 72 61 6E 73 66 65 72 5D 0D 0A [ZoneTransfer]..
0010: 5A 6F 6E 65 49 64 3D 33 0D 0A 52 65 66 65 72 72 ZoneId=3..Referr
0020: 65 72 55 72 6C 3D 68 74 74 70 73 3A 2F 2F 72 65 erUrl=https://re
0030: 61 64 65 72 2E 65 6C 73 65 76 69 65 72 2E 63 6F ader.elsevier.co
0040: 6D 2F 0D 0A 48 6F 73 74 55 72 6C 3D 68 74 74 70 m/..HostUrl=http
0050: 73 3A 2F 2F 70 64 66 2E 73 63 69 65 6E 63 65 64 s://pdf.scienced
0060: 69 72 65 63 74 61 73 73 65 74 73 2E 63 6F 6D 2F irectassets.com/
0070: 32 37 33 30 35 39 2F 31 2D 73 32 2E 30 2D 53 31 273059/1-s2.0-S1
0080: 37 34 32 32 38 37 36 31 37 58 30 30 30 32 39 2F 742287617X00029/
0090: 31 2D 73 32 2E 30 2D 53 31 37 34 32 32 38 37 36 1-s2.0-S17422876
00a0: 31 37 33 30 30 34 31 35 2F 6D 61 69 6E 2E 70 64 17300415/main.pd
00b0: 66 3F 58 2D 41 6D 7A 2D 53 65 63 75 72 69 74 79 f?X-Amz-Security
00c0: 2D 54 6F 6B 65 6E 3D 49 51 6F 4A 62 33 4A 70 5A -Token=IQoJb3JpZ
00d0: 32 6C 75 58 32 56 6A 45 46 49 61 43 58 56 7A 4C 2luX2VjEFIaCXVzL
00e0: 57 56 68 63 33 51 74 4D 53 4A 48 4D 45 55 43 49 WVhc3QtMSJHMEUCI
00f0: 47 47 4D 75 59 76 44 79 6B 61 4B 4C 79 44 4F 6D GGMuYvDykaKLyDOm
0100: 50 68 6F 4B 4E 4C 34 6B 4B 61 65 31 30 53 42 25 PhoKNL4kKae10SB%
0110: 32 42 6B 41 33 67 55 66 52 30 63 38 33 41 69 45 2BkA3gUfR0c83AiE
0120: 41 25 32 42 61 34 6D 66 56 4D 37 57 48 45 33 6B A%2Ba4mfVM7WHE3k
0130: 55 39 4A 6C 30 37 35 25 32 46 25 32 42 71 57 70 U9Jl075%2F%2BqWp
0140: 6E 43 6D 36 6D 25 32 46 35 52 47 25 32 46 4E 34 nCm6m%2F5RG%2FN4
0150: 74 55 34 32 54 41 71 67 77 51 49 79 76 25 32 46 tU42TAqgwQIyv%2F
0160: 25 32 46 25 32 46 25 32 46 25 32 46 25 32 46 25 %2F%2F%2F%2F%2F%
0170: 32 46 25 32 46 25 32 46 25 32 46 41 52 41 45 47 2F%2F%2F%2FARAEG
0180: 67 77 77 4E 54 6B 77 4D 44 4D 31 4E 44 59 34 4E gwwNTkwMDM1NDY4N
0190: 6A 55 69 44 42 44 72 76 51 38 41 33 52 77 6B 63 jUiDBDrvQ8A3Rwkc
01a0: 25 32 46 4B 58 36 43 72 58 41 38 47 42 38 38 45 %2FKX6CrXA8GB88E
01b0: 71 6F 41 6C 6D 30 6D 64 55 6B 50 65 73 25 32 42 qoAlm0mdUkPes%2B
01c0: 76 52 6C 71 4E 56 54 64 69 35 53 65 35 59 4C 25 vRlqNVTdi5Se5YL%
01d0: 32 46 6D 50 6F 50 41 52 78 51 34 57 32 6A 55 30 2FmPoPARxQ4W2jU0
01e0: 77 62 68 59 62 48 54 38 48 6F 69 70 79 52 42 67 wbhYbHT8HoipyRBg
01f0: 33 4F 25 32 46 35 64 64 35 6C 50 38 46 35 64 76 3O%2F5dd5lP8F5dv
LBA:18739017 vol.sec:18171721 Clus:2271465 sec:1 rec:1
0200: 4D 73 6A 65 44 4D 78 56 66 4C 4A 34 77 70 6D 4B MsjeDMxVfLJ4wpmK
0210: 77 33 63 52 42 41 50 45 63 66 36 75 71 62 63 72 w3cRBAPEcf6uqbcr
0220: 25 32 46 79 57 64 53 4C 4D 63 6D 31 57 31 39 37 %2FyWdSLMcm1W197
0230: 77 4A 37 71 71 55 50 76 6B 68 76 42 4D 71 64 37 wJ7qqUPvkhvBMqd7
0240: 39 59 34 6E 4F 4A 74 66 46 73 70 78 38 70 5A 6D 9Y4nOJtfFspx8pZm
0250: 58 33 77 41 4A 53 57 63 56 55 54 69 6D 6C 32 25 X3wAJSWcVUTiml2%
0260: 32 46 4A 54 78 75 25 32 46 63 25 32 42 54 78 61 2FJTxu%2Fc%2BTxa
0270: 45 49 62 69 45 6D 37 52 4E 6C 33 48 73 61 70 64 EIbiEm7RNl3Hsapd
0280: 42 32 79 53 76 6A 66 4A 43 6B 6D 35 6D 6E 6B 6A B2ySvjfJCkm5mnkj
0290: 6C 4F 6F 43 49 4C 77 4C 4C 70 65 75 4C 35 47 41 lOoCILwLLpeuL5GA
02a0: 67 71 58 77 39 4E 59 39 35 25 32 46 62 69 47 75 gqXw9NY95%2FbiGu
02b0: 4B 56 56 5A 6C 66 42 34 4D 63 68 41 62 62 4E 42 KVVZlfB4MchAbbNB
02c0: 6D 39 57 25 32 46 64 34 4F 73 32 50 47 47 67 76 m9W%2Fd4Os2PGGgv
02d0: 64 25 32 46 34 71 77 41 32 56 4D 78 4D 79 56 47 d%2F4qwA2VMxMyVG
02e0: 66 37 41 79 6C 30 47 39 57 31 4E 56 37 71 65 65 f7Ayl0G9W1NV7qee
02f0: 6C 53 54 39 57 32 67 68 71 78 31 6D 72 51 38 64 lST9W2ghqx1mrQ8d
0300: 6E 6F 59 56 37 57 78 25 32 42 70 69 4A 55 36 43 noYV7Wx%2BpiJU6C
0310: 43 67 49 42 74 78 6B 6B 58 59 56 59 78 57 78 32 CgIBtxkkXYVYxWx2
0320: 4B 71 46 68 25 32 42 4A 38 6C 33 4B 61 73 62 50 KqFh%2BJ8l3KasbP
0330: 70 62 71 45 61 4B 39 6A 7A 65 25 32 42 4A 63 4D pbqEaK9jze%2BJcM
0340: 33 33 6F 69 63 66 61 6C 49 66 46 53 4A 6A 69 57 33oicfalIfFSJjiW
0350: 71 66 56 7A 6C 53 4B 59 70 76 39 66 61 51 47 6F qfVzlSKYpv9faQGo
0360: 6C 59 42 54 71 77 63 64 4F 58 79 47 30 52 69 63 lYBTqwcdOXyG0Ric
0370: 70 45 65 6C 35 4B 72 35 54 73 52 65 6C 4A 4D 57 pEel5Kr5TsRelJMW
0380: 6A 71 53 63 66 46 64 65 49 72 55 63 72 78 47 64 jqScfFdeIrUcrxGd
0390: 65 53 78 7A 32 7A 75 47 4E 49 58 4F 67 79 71 4E eSxz2zuGNIXOgyqN
03a0: 53 37 36 57 66 39 71 44 25 32 46 71 45 6B 44 65 S76Wf9qD%2FqEkDe
03b0: 7A 43 33 6E 67 77 47 6B 30 46 35 68 36 79 75 30 zC3ngwGk0F5h6yu0
03c0: 4F 39 39 32 57 70 6D 78 55 43 67 4B 6D 33 66 6E O992WpmxUCgKm3fn
03d0: 51 36 43 66 37 6B 67 63 34 7A 36 34 75 58 41 74 Q6Cf7kgc4z64uXAt
03e0: 56 52 63 50 53 66 25 32 42 58 55 4E 48 4D 42 34 VRcPSf%2BXUNHMB4
03f0: 45 25 32 42 4A 6D 68 36 32 56 47 78 56 34 6C 65 E%2BJmh62VGxV4le
LBA:18739018 vol.sec:18171722 Clus:2271465 sec:2 rec:2
0400: 45 43 74 63 61 48 61 31 74 42 47 78 31 4B 55 6A ECtcaHa1tBGx1KUj
0410: 43 50 64 70 45 6E 30 74 61 69 6E 46 6A 59 59 55 CPdpEn0tainFjYYU
0420: 57 56 69 75 4B 65 6F 70 61 6F 58 57 42 44 45 50 WViuKeopaoXWBDEP
0430: 4D 58 67 57 37 79 41 70 70 57 4B 59 30 55 7A 44 MXgW7yAppWKY0UzD
0440: 59 33 64 53 52 42 6A 71 6C 41 57 76 79 35 25 32 Y3dSRBjqlAWvy5%2
0450: 42 79 56 39 6A 67 56 78 6D 70 43 67 34 67 4E 56 ByV9jgVxmpCg4gNV
0460: 47 4D 69 69 4E 68 4F 4B 6A 47 46 70 37 61 61 6A GMiiNhOKjGFp7aaj
0470: 39 54 45 46 4F 4E 57 76 62 73 6A 7A 34 65 69 25 9TEFONWvbsjz4ei%
0480: 32 46 35 6D 38 52 59 72 61 37 25 32 46 6A 4F 65 2F5m8RYra7%2FjOe
0490: 67 51 25 32 46 6B 6F 25 32 46 4E 42 50 6A 65 71 gQ%2Fko%2FNBPjeq
04a0: 4F 38 5A 5A 37 69 4A 25 32 46 78 45 4B 78 25 32 O8ZZ7iJ%2FxEKx%2
04b0: 46 4A 78 4B 49 53 41 65 33 32 76 36 6A 32 32 25 FJxKISAe32v6j22%
04c0: 32 46 47 4A 71 77 42 4E 70 78 43 74 52 25 32 46 2FGJqwBNpxCtR%2F
04d0: 49 4B 79 35 5A 63 70 75 52 4C 5A 6F 57 47 41 73 IKy5ZcpuRLZoWGAs
04e0: 38 68 63 78 78 32 36 4E 35 4F 61 72 47 6B 34 58 8hcxx26N5OarGk4X
04f0: 4A 25 32 46 66 35 68 4F 76 34 33 70 76 45 45 72 J%2Ff5hOv43pvEEr
0500: 73 38 63 71 38 45 43 30 64 6B 34 4A 6F 48 4C 30 s8cq8EC0dk4JoHL0
0510: 39 63 64 70 48 70 45 53 64 49 71 41 56 78 44 4C 9cdpHpESdIqAVxDL
0520: 63 77 67 6E 59 47 55 7A 5A 46 53 64 36 34 68 68 cwgnYGUzZFSd64hh
0530: 6E 6D 57 39 25 32 42 47 69 71 56 4B 51 25 33 44 nmW9%2BGiqVKQ%3D
0540: 25 33 44 26 58 2D 41 6D 7A 2D 41 6C 67 6F 72 69 %3D&X-Amz-Algori
0550: 74 68 6D 3D 41 57 53 34 2D 48 4D 41 43 2D 53 48 thm=AWS4-HMAC-SH
0560: 41 32 35 36 26 58 2D 41 6D 7A 2D 44 61 74 65 3D A256&X-Amz-Date=
0570: 32 30 32 32 30 33 31 39 54 30 31 34 38 31 30 5A 20220319T014810Z
0580: 26 58 2D 41 6D 7A 2D 53 69 67 6E 65 64 48 65 61 &X-Amz-SignedHea
0590: 64 65 72 73 3D 68 6F 73 74 26 58 2D 41 6D 7A 2D ders=host&X-Amz-
05a0: 45 78 70 69 72 65 73 3D 33 30 30 26 58 2D 41 6D Expires=300&X-Am
05b0: 7A 2D 43 72 65 64 65 6E 74 69 61 6C 3D 41 53 49 z-Credential=ASI
05c0: 41 51 33 50 48 43 56 54 59 59 47 53 44 59 51 48 AQ3PHCVTYYGSDYQH
05d0: 52 25 32 46 32 30 32 32 30 33 31 39 25 32 46 75 R%2F20220319%2Fu
05e0: 73 2D 65 61 73 74 2D 31 25 32 46 73 33 25 32 46 s-east-1%2Fs3%2F
05f0: 61 77 73 34 5F 72 65 71 75 65 73 74 26 58 2D 41 aws4_request&X-A
LBA:18739019 vol.sec:18171723 Clus:2271465 sec:3 rec:3
0600: 6D 7A 2D 53 69 67 6E 61 74 75 72 65 3D 37 38 66 mz-Signature=78f
0610: 37 62 31 65 30 61 64 34 63 36 32 61 37 61 30 37 7b1e0ad4c62a7a07
0620: 65 37 36 39 34 61 66 61 39 64 32 65 63 34 38 34 e7694afa9d2ec484
0630: 61 66 38 63 32 35 37 37 63 38 62 61 32 37 34 63 af8c2577c8ba274c
0640: 37 37 37 61 65 62 61 61 30 61 61 62 66 26 68 61 777aebaa0aabf&ha
0650: 73 68 3D 31 36 31 38 64 38 33 64 62 37 64 36 32 sh=1618d83db7d62
0660: 64 63 32 62 65 63 62 33 31 35 33 64 65 39 31 35 dc2becb3153de915
0670: 66 33 31 30 32 30 34 34 39 34 35 30 35 36 30 64 f31020449450560d
0680: 65 64 37 31 66 62 30 61 63 37 31 66 30 34 37 61 ed71fb0ac71f047a
0690: 62 62 33 26 68 6F 73 74 3D 36 38 30 34 32 63 39 bb3&host=68042c9
06a0: 34 33 35 39 31 30 31 33 61 63 32 62 32 34 33 30 43591013ac2b2430
06b0: 61 38 39 62 32 37 30 66 36 61 66 32 63 37 36 64 a89b270f6af2c76d
06c0: 38 64 66 64 30 38 36 61 30 37 31 37 36 61 66 65 8dfd086a07176afe
06d0: 37 63 37 36 63 32 63 36 31 26 70 69 69 3D 53 31 7c76c2c61&pii=S1
06e0: 37 34 32 32 38 37 36 31 37 33 30 30 34 31 35 26 742287617300415&
06f0: 74 69 64 3D 73 70 64 66 2D 37 37 61 62 61 64 30 tid=spdf-77abad0
0700: 36 2D 36 39 39 32 2D 34 65 30 62 2D 61 33 31 30 6-6992-4e0b-a310
0710: 2D 62 65 63 30 35 65 38 66 65 37 61 33 26 73 69 -bec05e8fe7a3&si
0720: 64 3D 36 36 35 39 33 64 62 65 31 64 34 66 63 36 d=66593dbe1d4fc6
0730: 34 34 37 39 35 62 39 32 31 39 33 64 33 32 65 32 44795b92193d32e2
0740: 30 39 64 66 63 33 67 78 72 71 62 26 74 79 70 65 09dfc3gxrqb&type
0750: 3D 63 6C 69 65 6E 74 26 64 6F 77 6E 6C 6F 61 64 =client&download
0760: 3D 74 72 75 65 26 75 61 3D 35 33 30 32 30 34 35 =true&ua=5302045
0770: 31 35 63 30 31 35 30 35 64 35 31 30 31 26 72 72 15c01505d5101&rr
0780: 3D 36 65 65 32 38 62 35 33 36 63 37 65 34 31 35 =6ee28b536c7e415
0790: 61 0D 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 a...............
它至少揭示了它是从哪里下载的......