admin管理员组文章数量:1531462
2024年3月8日发(作者:)
电子取证— 360浏览器历史记录数据恢复提取方法
编者按:本期,数据恢复四川省重点实验室科研人员将介绍360浏览器历史浏览记录数据恢复提取方法。其中,针对XP系统下的二进制dat文件解析方法在市场上属于首创,可助力一线取证人员对360浏览器历史记录文件进行快速解析和提取,为电子取证和案件侦破提供关键线索。
一、背景介绍
近年来,利用计算机进行网络犯罪呈高增长态势,浏览器历史痕迹成为计算机取证的重点。由于某些浏览器保存记录方法是自己特定的格式,市面上很少有工具或者方法针对这种文件解析,所以这种浏览器历史痕迹被删除后,如果没有解析方法,整个痕迹提取环节就陷入僵局。
目前,市面上主要浏览器有微软IE、谷歌Chrome、奇虎360浏览器、搜狗浏览器、百度浏览器等。其中,360浏览器作为主流浏览器之一,占有较高市场份额,而它的浏览器保存记录方法就属于特定格式。因此,研究360浏览器的历史痕迹提取方法并形成有效的电子证据,对计算机取证有重要意义。
图1:2015年8月浏览器市场占有率统计
二、技术方案
1.确定360浏览器历史痕迹文件位置
360浏览器历史记录文件在不同操作系统中存储位置也不一样,根据目前分析结果,归1 / 4
纳如下:
360痕迹文件在Windows xp 系统下路径为:C:Documents and Settings用户名Application Data360sedata histo。
360痕迹文件在Windows 7/8 系统下路径为:C:Users用户名AppDataRoaming360se6User DataDefault History(如图2)。
图2:360痕迹文件在Windows 7 系统下路径
2.分清360浏览器历史痕迹文件的类型
360浏览器历史痕迹文件在不同操作系统下位置不一样,在不同操作系统中记录历史痕迹的文件类型也不一样。目前研究发现,360浏览器历史痕迹文件主要有两类;一类是XP系统下的二进制dat文件类型;另一类是win 7/8 系统下的sqlite3 数据库类型。
3.解析360浏览器历史痕迹文件
3.1解析sqlite3数据库
Sqlite3是一种轻型数据库,目前有多种成熟解析与提取方法,有众多软件可以支持该数据库提取,如sqlite expert、效率源手机数据恢复工具For Sqlite 2014等都可以直接打开查看(如图3)。
2 / 4
图3:利用效率源手机数据恢复工具查看Sqlite3数据库
针对删除历史痕迹信息,可以使用“效率源手机数据恢复工具For Sqlite 2014”软件中的特征库方式进行全盘检索恢复。所谓的特征库方式,就是按照现有数据排列格式在空闲区域中进行筛查,判断是否存在这种规律的数据,存在即为删除丢失的历史痕迹信息(如图4)。
图4:绿色部分为正常数据,红色部分为丢失删除数据。
3.2解析二进制dat文件
目前,市面上针对二进制dat文件的解析方法还没有。数据恢复四川省重点实验室科研人员发明了一种方法,可以使用16进制查看二进制dat文件的数据(如图5)。
3 / 4
图5:利用16进制查看二进制dat文件
在图5中,可以人工分析出360浏览器二进制dat文件中记录的时间、主题、网址等信息。此外,这些信息也可以直接使用“效率源DF电子数据分析系统”进行分析查看(如图6)。
【图6:利用“效率源DF电子数据分析系统”进行分析查看】
结语:360浏览器历史痕迹文件主要分为sqlite3数据库和二进制dat文件两种类型。针对sqlite3数据库,市场上已有成熟解析方法,对其中删除信息,可以利用“效率源手机数据恢复工具For Sqlite 2014”进行快速检索恢复;针对二进制dat文件,数据恢复四川省重点实验室科研人员发明的利用16进制查看二进制dat文件方法,能成功进行数据解析,此方法已成功应用在“效率源DF电子数据分析系统”中,在电子取证过程中发挥了重要作用。
4 / 4
版权声明:本文标题:电子取证—360浏览器历史记录数据恢复提取方法 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1709892671a238781.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论