基于浏览器客户端应用程序的脱机文件痕迹检测的方法技术

本发明专利技术公开了一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，属于电子数据取证领域，S1根据注册表信息判断磁盘中是否安装过浏览器软件；S2定位文件所在路径，并判断磁盘中是否存在包含浏览器痕迹信息的文件，若存在则跳至S3，不存在跳至S5；S3解析由浏览器软件产生的原始数据，解析的主要信息包括历史访问记录、访问次数、地址栏信息、cookies、收藏夹和下载痕迹的信息；S4根据S3中解析痕迹文件的数据，获取该磁盘中浏览器痕迹的所有数据和信息；采用本发明专利技术的方法可以快速判断磁盘数据是否包含浏览器痕迹信息格式的数据；同时可以完整提取磁盘中包含的所有浏览器痕迹信息，包括正常和非正常的数据。

【技术实现步骤摘要】
基于浏览器客户端应用程序的脱机文件痕迹检测的方法
本专利技术涉及电子数据取证领域，特别涉及一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法。
技术介绍
随着信息技术的高速发展,互联网已经成为人们日常生活的重要组成部分。无论是政府部门、企事业单位，还是普通家庭，到处可以看到互联网的身影。也正是互联网的存在使得我们的生活越来越便捷。同时，人们的交流和沟通方式也正在发生着巨大的改变，越来越多的人喜欢利用互联网强大的搜索引擎进行资料的查找、喜欢利用网络来进行从事多种多样的活动，这一切都离不开Web浏览器，因此Web浏览器也成为了人们获取互联网信息资源而使用的最频繁的一款计算机软件。然而，互联网再给人们带来方便的同时，同时也滋生不法分子利用互联网进行犯罪活动。由于浏览器的使用，不可避免的会留下大量的互联网访问痕迹，如地址栏、历史记录、Cookies、临时文件、注册表、其他日志文件等。Web浏览器取证就成为打击计算机犯罪的有力工具和手段，为了提高打击计算机犯罪的能力，需要对浏览器取证利于进行深入的研究。如何最大限度的获取网络犯罪相关的历史信息证据，如何恢复犯罪分子已经删除的历史记录信息提取相关证据，将不法分子绳之以法，已经成为计算机取证领域急需解决的问题。
技术实现思路
本专利技术针对现有技术的不足，提供一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，各个浏览器客户端应用程序的产生的数据文件都是采用厂商自定义的存储格式，传统的数据恢复技术无法应用到该类型的数据提取与恢复；市面上现有技术较难做到快速的提取磁盘中浏览器痕迹信息，还有部分则很难全面地提取浏览器痕迹信息。为解决以上问题，本专利技术采用的技术方案如下：一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，包括以下步骤：S1根据注册表信息判断磁盘中是否安装过浏览器软件；S2定位文件所在路径，并判断磁盘中是否存在包含浏览器痕迹信息的文件，若存在则跳至S3，不存在跳至S5；S3解析由浏览器软件产生的原始数据，解析的主要信息包括历史访问记录、访问次数、地址栏信息、cookies、收藏夹和下载痕迹的信息；S4根据S3中解析痕迹文件的数据，获取该磁盘中浏览器痕迹的所有数据和信息；S5根据S4中获取的结果，分类记录并统计磁盘中浏览器的痕迹信息。作为优选,S1具体如下：根据注册表信息判断磁盘中是否安装过浏览器软件，常用到的注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\MAINH,KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths，其中第一个路径下键名为x86AppPath的项记录IE安装信息的表项，第二个路径下子路径为其他常用浏览器软件的安装信息的表项，这些注册表项在磁盘中对应的文件路径为c:\windows\system32\config\software，或者解析该文件来获取这些注册表表项的键值信息。作为优选,S3具体如下：解析Sqlite数据库文件，根据Sqlite官方提供的文档和动态链接库来解析数据库文件，使用该类型的文件有360安全浏览器的收藏夹信息，Firefox浏览器的历史记录、收藏夹、下载信息、cookies的信息。作为优选,S4具体如下：根据S3中解析痕迹文件的数据格式，获取该磁盘中所有浏览器的历史访问记录、地址栏信息、cookies、收藏夹、下载痕迹、搜索过的关键字、访问次数的信息，特别地，针对痕迹信息文件为sqlite数据库结文件结合其结构特征扫描整个磁盘，获取隐藏的或删除的上网痕迹信息。本专利技术的有益效果如下：采用本专利技术的方法可以快速判断磁盘数据是否包含浏览器痕迹信息格式的数据；同时可以完整提取磁盘中包含的所有浏览器痕迹信息，包括正常和非正常的数据。附图说明图1为磁盘浏览器痕迹信息解析主流程。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本专利技术做进一步详细说明。下面详细介绍浏览器软件产生的数据文件的基本结构，目前市场上主流的浏览器有10多种，例如IE浏览器、360浏览器、QQ浏览器、搜狗浏览器、Chrome浏览器、猎豹浏览器、Firefox浏览器、Opera浏览器，但真正的浏览器内核仅有如下四中：Trident内核、Gecko内核、Presto内核、Webkit内核。针对四种内核，浏览器的痕迹信息文件也各有差异。Trident内核常常使用一类特殊的Trident内核索引文件，该类型文件不同于现已知的任何一种文件格式，需要对其单独解析；其他三种内核的浏览器常使用一个特定结构的数据文件来存储痕迹信息，主要使用的有Sqlite数据库文件、XML文件、JSON对象文件等三类文件类型，其中有部分浏览使用了一些特殊结构的文本型文件，该类型文件类似于文本文件，虽然存储逻辑发生变化，但均采用明文存储，易于解析读取；还有少量浏览器的部分痕迹信息文件使用了加密文件存储。实施例:为了更为方便的阐述本专利技术中的方法，本例以操作系统安装在C盘为例进行阐述各浏览器软件的痕迹信息提取方法。本专利技术的恢复方法包括以下内容：S1根据注册表信息判断磁盘中是否安装过浏览器软件，常用到的注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\MAINH,KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths，其中第一个路径下键名为x86AppPath的项记录IE安装信息的表项，第二个路径下子路径为其他常用浏览器软件的安装信息的表项，这些注册表项在磁盘中对应的文件路径为c:\windows\system32\config\software，也可以解析该文件来获取这些注册表表项的键值信息；S2根据S1中查找注册表所得的信息，读取浏览器软件的安装文件所在路径或定位浏览器中设置保存浏览信息的文件路径，并判断磁盘中是否存在包含浏览器痕迹信息的文件，若存在则跳至S3，不存在跳至S5。例如在XP操作系统下IE浏览器痕迹文件的常用路径为C:\DocumentsandSettings\Users\LocalSettings\TemporaryInternetFiles\Content.IE5\index.dat，而Windows7则稍有不同C:\Users\Administrator\AppData\Local\Micrsoft\Windows\TemporaryInternetFiles\Content.IE5\index.dat；再比如360安全浏览器的痕迹文件所在文件夹常用路径为C:\Users\Administrator\AppData\Roaming\360se6\UserData\Default；Opera浏览器痕迹文件夹常用的文件路径为C:\Users\Administrator\AppData\Roaming\Opera\Opera；S3解析由浏览器软件产生的原始数据，解析的主要信息包括历史访问记录、地址栏信息、coo本文档来自技高网...

【技术保护点】
一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，其特征在于,步骤如下：S1根据注册表信息判断磁盘中是否安装过浏览器软件；S2定位文件所在路径，并判断磁盘中是否存在包含浏览器痕迹信息的文件，若存在则跳至S3，不存在跳至S5；S3解析由浏览器软件产生的原始数据，解析的主要信息包括历史访问记录、访问次数、地址栏信息、cookies、收藏夹和下载痕迹的信息；S4根据S3中解析痕迹文件的数据，获取该磁盘中浏览器痕迹的所有数据和信息；S5根据S4中获取的结果，分类记录并统计磁盘中浏览器的痕迹信息。

【技术特征摘要】
1.一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，其特征在于,步骤如下：S1根据注册表信息判断磁盘中是否安装过浏览器软件；S2定位文件所在路径，并判断磁盘中是否存在包含浏览器痕迹信息的文件，若存在则跳至S3，不存在跳至S5；S3解析由浏览器软件产生的原始数据，解析的主要信息包括历史访问记录、访问次数、地址栏信息、cookies、收藏夹和下载痕迹的信息；S4根据S3中解析痕迹文件的数据，获取该磁盘中浏览器痕迹的所有数据和信息；S5根据S4中获取的结果，分类记录并统计磁盘中浏览器的痕迹信息。2.根据权利要求1所述的一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，其特征在于,S1具体如下：根据注册表信息判断磁盘中是否安装过浏览器软件，常用到的注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\MAINH,KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AppPaths，其中第一个路径...

【专利技术属性】
技术研发人员：梁效宁，朱星海，许超明，赵飞，
申请(专利权)人：四川效率源信息安全技术股份有限公司，
类型：发明
国别省市：四川,51