亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于瀏覽器客戶端應用程序的脫機文件痕跡檢測的方法與流程

文檔序號:11590385閱讀:288來源:國知局

本發(fā)明涉及電子數(shù)據(jù)取證領域,特別涉及一種基于瀏覽器客戶端應用程序的脫機文件痕跡檢測的方法。



背景技術(shù):

隨著信息技術(shù)的高速發(fā)展,互聯(lián)網(wǎng)已經(jīng)成為人們?nèi)粘I畹闹匾M成部分。無論是政府部門、企事業(yè)單位,還是普通家庭,到處可以看到互聯(lián)網(wǎng)的身影。也正是互聯(lián)網(wǎng)的存在使得我們的生活越來越便捷。同時,人們的交流和溝通方式也正在發(fā)生著巨大的改變,越來越多的人喜歡利用互聯(lián)網(wǎng)強大的搜索引擎進行資料的查找、喜歡利用網(wǎng)絡來進行從事多種多樣的活動,這一切都離不開web瀏覽器,因此web瀏覽器也成為了人們獲取互聯(lián)網(wǎng)信息資源而使用的最頻繁的一款計算機軟件。

然而,互聯(lián)網(wǎng)再給人們帶來方便的同時,同時也滋生不法分子利用互聯(lián)網(wǎng)進行犯罪活動。由于瀏覽器的使用,不可避免的會留下大量的互聯(lián)網(wǎng)訪問痕跡,如地址欄、歷史記錄、cookies、臨時文件、注冊表、其他日志文件等。web瀏覽器取證就成為打擊計算機犯罪的有力工具和手段,為了提高打擊計算機犯罪的能力,需要對瀏覽器取證利于進行深入的研究。如何最大限度的獲取網(wǎng)絡犯罪相關的歷史信息證據(jù),如何恢復犯罪分子已經(jīng)刪除的歷史記錄信息提取相關證據(jù),將不法分子繩之以法,已經(jīng)成為計算機取證領域急需解決的問題。



技術(shù)實現(xiàn)要素:

本發(fā)明針對現(xiàn)有技術(shù)的不足,提供一種基于瀏覽器客戶端應用程序的脫機 文件痕跡檢測的方法,各個瀏覽器客戶端應用程序的產(chǎn)生的數(shù)據(jù)文件都是采用廠商自定義的存儲格式,傳統(tǒng)的數(shù)據(jù)恢復技術(shù)無法應用到該類型的數(shù)據(jù)提取與恢復;市面上現(xiàn)有技術(shù)較難做到快速的提取磁盤中瀏覽器痕跡信息,還有部分則很難全面地提取瀏覽器痕跡信息。

為解決以上問題,本發(fā)明采用的技術(shù)方案如下:一種基于瀏覽器客戶端應用程序的脫機文件痕跡檢測的方法,包括以下步驟:s1根據(jù)注冊表信息判斷磁盤中是否安裝過瀏覽器軟件;s2定位文件所在路徑,并判斷磁盤中是否存在包含瀏覽器痕跡信息的文件,若存在則跳至s3,不存在跳至s5;s3解析由瀏覽器軟件產(chǎn)生的原始數(shù)據(jù),解析的主要信息包括歷史訪問記錄、訪問次數(shù)、地址欄信息、cookies、收藏夾和下載痕跡的信息;s4根據(jù)s3中解析痕跡文件的數(shù)據(jù),獲取該磁盤中瀏覽器痕跡的所有數(shù)據(jù)和信息;s5根據(jù)s4中獲取的結(jié)果,分類記錄并統(tǒng)計磁盤中瀏覽器的痕跡信息。

作為優(yōu)選,s1具體如下:

根據(jù)注冊表信息判斷磁盤中是否安裝過瀏覽器軟件,常用到的注冊表項:hkey_local_machine\software\microsoft\internetexplorer\mainh,key_local_machine\software\microsoft\windows\currentversion\apppaths,其中第一個路徑下鍵名為x86apppath的項記錄ie安裝信息的表項,第二個路徑下子路徑為其他常用瀏覽器軟件的安裝信息的表項,這些注冊表項在磁盤中對應的文件路徑為c:\windows\system32\config\software,或者解析該文件來獲取這些注冊表表項的鍵值信息。

作為優(yōu)選,s3具體如下:

解析sqlite數(shù)據(jù)庫文件,根據(jù)sqlite官方提供的文檔和動態(tài)鏈接庫來解析數(shù)據(jù)庫文件,使用該類型的文件有360安全瀏覽器的收藏夾信息,firefox 瀏覽器的歷史記錄、收藏夾、下載信息、cookies的信息。

作為優(yōu)選,s4具體如下:

根據(jù)s3中解析痕跡文件的數(shù)據(jù)格式,獲取該磁盤中所有瀏覽器的歷史訪問記錄、地址欄信息、cookies、收藏夾、下載痕跡、搜索過的關鍵字、訪問次數(shù)的信息,特別地,針對痕跡信息文件為sqlite數(shù)據(jù)庫結(jié)文件結(jié)合其結(jié)構(gòu)特征掃描整個磁盤,獲取隱藏的或刪除的上網(wǎng)痕跡信息。

本發(fā)明的有益效果如下:采用本發(fā)明的方法可以快速判斷磁盤數(shù)據(jù)是否包含瀏覽器痕跡信息格式的數(shù)據(jù);同時可以完整提取磁盤中包含的所有瀏覽器痕跡信息,包括正常和非正常的數(shù)據(jù)。

附圖說明

圖1為磁盤瀏覽器痕跡信息解析主流程。

具體實施方式

為使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下參照附圖并舉實施例,對本發(fā)明做進一步詳細說明。

下面詳細介紹瀏覽器軟件產(chǎn)生的數(shù)據(jù)文件的基本結(jié)構(gòu),目前市場上主流的瀏覽器有10多種,例如ie瀏覽器、360瀏覽器、qq瀏覽器、搜狗瀏覽器、chrome瀏覽器、獵豹瀏覽器、firefox瀏覽器、opera瀏覽器,但真正的瀏覽器內(nèi)核僅有如下四中:trident內(nèi)核、gecko內(nèi)核、presto內(nèi)核、webkit內(nèi)核。針對四種內(nèi)核,瀏覽器的痕跡信息文件也各有差異。trident內(nèi)核常常使用一類特殊的trident內(nèi)核索引文件,該類型文件不同于現(xiàn)已知的任何一種文件格式,需要對其單獨解析;其他三種內(nèi)核的瀏覽器常使用一個特定結(jié)構(gòu)的數(shù)據(jù)文件來存儲痕跡信息,主要使用的有sqlite數(shù)據(jù)庫文件、xml文件、json對象文件等三類文件類型,其中有部分瀏覽使用了一些特殊結(jié)構(gòu)的文本型文件,該類型 文件類似于文本文件,雖然存儲邏輯發(fā)生變化,但均采用明文存儲,易于解析讀??;還有少量瀏覽器的部分痕跡信息文件使用了加密文件存儲。

實施例:為了更為方便的闡述本發(fā)明中的方法,本例以操作系統(tǒng)安裝在c盤為例進行闡述各瀏覽器軟件的痕跡信息提取方法。

本發(fā)明的恢復方法包括以下內(nèi)容:

s1根據(jù)注冊表信息判斷磁盤中是否安裝過瀏覽器軟件,常用到的注冊表項:hkey_local_machine\software\microsoft\internetexplorer\mainh,key_local_machine\software\microsoft\windows\currentversion\apppaths,其中第一個路徑下鍵名為x86apppath的項記錄ie安裝信息的表項,第二個路徑下子路徑為其他常用瀏覽器軟件的安裝信息的表項,這些注冊表項在磁盤中對應的文件路徑為c:\windows\system32\config\software,也可以解析該文件來獲取這些注冊表表項的鍵值信息;

s2根據(jù)s1中查找注冊表所得的信息,讀取瀏覽器軟件的安裝文件所在路徑或定位瀏覽器中設置保存瀏覽信息的文件路徑,并判斷磁盤中是否存在包含瀏覽器痕跡信息的文件,若存在則跳至s3,不存在跳至s5。

例如在xp操作系統(tǒng)下ie瀏覽器痕跡文件的常用路徑為c:\documentsandsettings\users\localsettings\temporaryinternetfiles\content.ie5\index.dat,而windows7則稍有不同c:\users\administrator\appdata\local\micrsoft\windows\temporaryinternetfiles\content.ie5\index.dat;再比如360安全瀏覽器的痕跡文件所在文件夾常用路徑為c:\users\administrator\appdata\roaming\360se6\userdata\default;opera瀏覽器痕跡文件夾常用的文件路徑為 c:\users\administrator\appdata\roaming\opera\opera;

s3解析由瀏覽器軟件產(chǎn)生的原始數(shù)據(jù),解析的主要信息包括歷史訪問記錄、地址欄信息、cookies、收藏夾、下載痕跡等項的信息,部分瀏覽器還記錄的有搜索過的關鍵字、訪問次數(shù)等,目前市面上主流的10余種瀏覽器存儲瀏覽器軟件產(chǎn)生的痕跡信息的文件格式有以下四種:

sqlite數(shù)據(jù)庫文件,可根據(jù)sqlite官方提供的文檔和動態(tài)鏈接庫來解析數(shù)據(jù)庫文件即可。使用該類型的文件有360安全瀏覽器的收藏夾信息,firefox瀏覽器的歷史記錄、收藏夾、下載信息、cookies的信息等;

trident內(nèi)核索引文件,ie系列瀏覽器中ie10版本之前的版本均使用一類獨特的索引文件來記錄瀏覽器產(chǎn)生的瀏覽痕跡信息,例如ie8在windows7下產(chǎn)生的痕跡信息文件index.dat,該文件從總體上講分為兩部分:特征頭和條目部分,特征頭也就說索引文件的開頭,一般記錄文件版本號、文件大小等信息,索引文件中的條目部分又分為7種,每種條目的數(shù)據(jù)結(jié)構(gòu)都不相同,為了更好地區(qū)分各類條目,索引文件規(guī)定了用4byte來作為條目的標示符,接下來的4byte來表示條目的大小(真實的大小為該4byte記錄的值乘以128),在ie的痕跡信息取證中只需要關注url條目和哈希表條目即可。

json對象文件,json(javascriptobjectnotation)是一種輕量級的數(shù)據(jù)交換格式,簡單說就是javascript中的對象和數(shù)組,json對象就是鍵值對的組合,解析數(shù)據(jù)時可根據(jù)鍵名來訪問獲取對應的鍵值。使用該類型文件的有chrome瀏覽的收藏夾信息。

xml文件,可根據(jù)xml官方提供的文檔和動態(tài)鏈接庫來解析數(shù)據(jù)庫文件即可。使用該類型的文件有opera瀏覽器的地址欄信息。

特殊格式的文本文件,該類型的文件不屬于已知類型的文本文件,存儲的 數(shù)據(jù)格式相對于傳統(tǒng)的文本文件僅僅只是改變存儲的邏輯,而且都是明文顯示,解析較為方便。使用該類型文件的代表有opera瀏覽器的收藏夾信息。

加密文件,痕跡信息文件所有內(nèi)容都進過特殊的加密處理,無法簡單的推斷出其大致的數(shù)據(jù)格式。目前使用該類型文件的相對較少,例如搜狗瀏覽器的收藏夾痕跡信息則使用加密文件存儲。

s4根據(jù)s3中解析痕跡文件的數(shù)據(jù)格式,獲取該磁盤中所有瀏覽器的歷史訪問記錄、地址欄信息、cookies、收藏夾、下載痕跡、搜索過的關鍵字、訪問次數(shù)等項的信息,特別地,針對痕跡信息文件為trident內(nèi)核索引文件、sqlite數(shù)據(jù)庫結(jié)文件以及特殊格式的文本文件,可以結(jié)合其結(jié)構(gòu)特征掃描整個磁盤,獲取隱藏的或刪除的上網(wǎng)痕跡信息;

s5根據(jù)s4中獲取的結(jié)果,分類記錄并統(tǒng)計磁盤中正常和非正常的瀏覽器痕跡信息。

當前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1