本期 , 数据恢复四川省重点实验室科研人员将介绍360浏览器历史浏览记录数据恢复提取方法 。 其中 , 针对XP系统下的二进制dat文件解析方法在市场上属于首创 , 可助力一线取证人员对360浏览器历史记录文件进行快速解析和提取 , 为电子取证和案件侦破提供关键线索 。
一、背景介绍
近年来,利用计算机进行网络犯罪呈高增长态势,浏览器历史痕迹成为计算机取证的重点 。 由于某些浏览器保存记录方法是自己特定的格式 , 市面上很少有工具或者方法针对这种文件解析 , 所以这种浏览器历史痕迹被删除后 , 如果没有解析方法 , 整个痕迹提取环节就陷入僵局 。
目前 , 市面上主要浏览器有微软IE、谷歌Chrome、奇虎360浏览器、搜狗浏览器、百度浏览器等 。 其中 , 360浏览器作为主流浏览器之一 , 占有较高市场份额 , 而它的浏览器保存记录方法就属于特定格式 。 因此 , 研究360浏览器的历史痕迹提取方法并形成有效的电子证据 , 对计算机取证有重要意义 。
2015年8月浏览器市场占有率统计】
二、技术方案
【教你历史记录文件进行快速解析和提取 怎么恢复浏览器历史记录?】1.确定360浏览器历史痕迹文件位置
360浏览器历史记录文件在不同操作系统中存储位置也不一样 , 根据目前分析结果 , 归纳如下:
360痕迹文件在Windows xp 系统下路径为:C:\Documents and Settings\用户名\Application Data\360se\data\ history.dat 。
360痕迹文件在Windows 7/8 系统下路径为:C:\Users\用户名\AppData\Roaming\360se6\User Data\Default\ History
360痕迹文件在Windows 7 系统下路径】
2.分清360浏览器历史痕迹文件的类型
360浏览器历史痕迹文件在不同操作系统下位置不一样 , 在不同操作系统中记录历史痕迹的文件类型也不一样 。 目前研究发现 , 360浏览器历史痕迹文件主要有两类;一类是XP系统下的二进制dat文件类型;另一类是win 7/8 系统下的sqlite3 数据库类型 。
3.解析360浏览器历史痕迹文件
3.1解析sqlite3数据库
Sqlite3是一种轻型数据库 , 目前有多种成熟解析与提取方法 , 有众多软件可以支持该数据库提取 , 如sqlite expert、效率源手机数据恢复工具For Sqlite 2014等都可以直接打开查看
利用效率源手机数据恢复工具查看Sqlite3数据库】
针对删除历史痕迹信息 , 可以使用“效率源手机数据恢复工具For Sqlite 2014”软件中的特征库方式进行全盘检索恢复 。 所谓的特征库方式 , 就是按照现有数据排列格式在空闲区域中进行筛查 , 判断是否存在这种规律的数据 , 存在即为删除丢失的历史痕迹信息
绿色部分为正常数据 , 红色部分为丢失删除数据】
3.2解析二进制dat文件
目前 , 市面上针对二进制dat文件的解析方法还没有 。 数据恢复四川省重点实验室科研人员发明了一种方法 , 可以使用16进制查看二进制dat文件的数据
【图5:利用16进制查看二进制dat文件】
在图5中 , 可以人工分析出360浏览器二进制dat文件中记录的时间、主题、网址等信息 。 此外 , 这些信息也可以直接使用“效率源DF电子数据分析系统”进行分析查看
利用“效率源DF电子数据分析系统”进行分析查看】
结语:360浏览器历史痕迹文件主要分为sqlite3数据库和二进制dat文件两种类型 。 针对sqlite3数据库 , 市场上已有成熟解析方法 , 对其中删除信息 , 可以利用“效率源手机数据恢复工具For Sqlite 2014”进行快速检索恢复;针对二进制dat文件 , 数据恢复四川省重点实验室科研人员发明的利用16进制查看二进制dat文件方法 , 能成功进行数据解析 , 此方法已成功应用在“效率源DF电子数据分析系统”中 , 在电子取证过程中发挥了重要作用 。
推荐阅读
- 教你做旅游品牌规划的3个技巧 旅游品牌规划怎么做?
- 教你打造个人品牌的3种方法 个人品牌该如何打造?
- 教你做品牌线上声誉管理的5种方法 品牌线上声誉管理该怎么做?
- 推荐短视频策划方案模板 如何三分钟教你短视频策划方案?
- 庆新年简笔画 教你画可爱的中国娃
- 教你卸掉手机上鸡肋系统软件 什么叫系统软件?
- 一分钟教你入门Excel自定义函数 excel如何自定义公式
- 教你制作礼品包装盒的6个步骤 礼品包装盒该如何制作?
- 茶艺师手把手教你如何冲泡金骏眉 金骏眉第一泡不能喝
- 只需4步,教你如何打造一款属于自己的帅气发型 教你如何做头发造型