一种用于浏览器上网痕迹碎片的恢复方法和系统技术方案

本发明专利技术给出了一种用于浏览器上网痕迹碎片的恢复方法，加载浏览器缓存文件index.dat文件的内容数据，读取正常记录的Hash集；获取内容数据中分配位图中未分配块列表，从未分配块列表中获取未分配块在分配位图的索引位置，并读取未分配块的块数据；在未分配块的块数据中匹配记录签名，响应于未匹配到签名，在块数据中正则匹配搜索URL地址，并保存展示。还公开了一种用于浏览器上网痕迹碎片的恢复系统，方法和系统通过对index.dat文件的未分配区块的解析处理，能够从index.dat文件的未分配区块的碎片数据，恢复重组出较完整的上网痕迹记录，具有恢复速度快、恢复准确率高的特点。恢复准确率高的特点。恢复准确率高的特点。

【技术实现步骤摘要】
一种用于浏览器上网痕迹碎片的恢复方法和系统


[0001]本专利技术涉及计算机网络领域，尤其是一种用于浏览器上网痕迹碎片的恢复方法和系统。

技术介绍

[0002]Internet Explorer，简称IE，是微软推出的一款图形用户界面网页浏览器，是广大Windows操作系统用户最为常用的内置应用之一。访问网站网页过程，出于各种软件易用性、网页加速加载等机制和原因，会产生历史记录、缓存记录、Cookies记录、搜索记录等用户上网痕迹，而IE浏览器会将这些上网痕迹信息缓存在特定的文件或数据库中。IE 5到IE 9版本的浏览器主要将上网痕迹存储于缓存文件index.dat。而IE 10到IE 11版本的浏览器主要将上网痕迹存储于ese(Extensible Storage Engine)格式的edb(esedb)数据库文件。
[0003]IE浏览器index.dat缓存文件作为取证分析工作的重要研究对象之一，市面上大部分取证软件基本能够参照IE浏览器界面的实际展示，正确解析并重现index.dat文件中正常可见的上网记录，供进一步搜索和筛选目标信息。但大部分取证软件对index.dat文件的未分配区块却鲜有解析处理，可能造成极具价值的上网痕迹信息未被及时发现，遗漏挖掘重要线索信息。

技术实现思路

[0004]为了解决现有技术中的大部分取证软件可能存在的遗漏上网痕迹信息的技术问题，本专利技术提出了一种用于浏览器上网痕迹碎片的恢复方法和系统，以解决上述技术问题。
[0005]根据本专利技术的一个方面，提出了一种用于浏览器上网痕迹碎片的恢复方法，该方法包括：
[0006]S1：加载浏览器缓存文件index.dat文件的内容数据，读取正常记录的Hash集；
[0007]S2：获取内容数据中分配位图中未分配块列表，从未分配块列表中获取未分配块在分配位图的索引位置，并读取未分配块的块数据；以及
[0008]S3：在未分配块的块数据中匹配记录签名，响应于未匹配到签名，在块数据中正则匹配搜索URL地址，并保存展示。
[0009]在一些具体的实施例中，内容数据包括头部信息区和记录区，头部信息区包括文件头信息、缓存目录表、未知数据区、分配位图和记录的Hash表。通过对上述缓存文件的读取可以在后续签名搜索、记录类型判定和重复性校验等处理流程提供数据基础。
[0010]在一些具体的实施例中，步骤S1在读取正常的Hash集之前，还包括读取并校验文件头信息中的文件签名，响应于文件签名匹配，读取正常的Hash集。凭借该步骤可以确保数据的有效性。
[0011]在一些具体的实施例中，步骤S2中具体包括，从未分配块列表Blocks(n)中获取第x个未分配块在分配位图的索引位置i，并读取第x个未分配块的块数据Block＝Data[0X400+i*128]。凭借该步骤可以快速获取对应未分配块的块数据。
[0012]在一些具体的实施例中，步骤S3还包括：响应于匹配到签名，按签名类型的记录数据结构解析并检查URL地址的完整性，计算记录的Hash值并校验是否与Hash集中的Hash重复，若不重复，则保存展示。
[0013]在一些具体的实施例中，签名类型包括URL记录签名、REDR记录签名和LEAK记录签名。
[0014]在一些具体的实施例中，还包括重复进行步骤S2和S3，直至未分配块列表中的未分配块全部解析完成。
[0015]根据本专利技术的第二方面，提出了一种计算机可读存储介质，其上存储有一或多个计算机程序，该一或多个计算机程序被计算机处理器执行时实施上述任一项的方法。
[0016]根据本专利技术的第三方面，提出了一种用于浏览器上网痕迹碎片的恢复系统，该系统包括：
[0017]缓存文件加载单元：配置用于加载浏览器缓存文件index.dat文件的内容数据，读取正常记录的Hash集；
[0018]未分配块数据读取单元：配置用于获取内容数据中分配位图中未分配块列表，从未分配块列表中获取未分配块在分配位图的索引位置，并读取未分配块的块数据；
[0019]恢复单元：配置用于在未分配块的块数据中匹配记录签名，响应于未匹配到签名，在块数据中正则匹配搜索URL地址，并保存展示。
[0020]在一些具体的实施例中，内容数据包括头部信息区和记录区，头部信息区包括文件头信息、缓存目录表、未知数据区、分配位图和记录的Hash表。通过对上述缓存文件的读取可以在后续签名搜索、记录类型判定和重复性校验等处理流程提供数据基础。
[0021]在一些具体的实施例中，缓存文件加载单元中在读取正常的Hash集之前，还包括读取并校验文件头信息中的文件签名，响应于文件签名匹配，读取正常的Hash集。凭借该设置可以确保数据的有效性。
[0022]在一些具体的实施例中，未分配块数据读取单元中从未分配块列表Blocks(n)中获取第x个未分配块在分配位图的索引位置i，并读取第x个未分配块的块数据Block＝Data[0X400+i*128]。凭借该设置可以快速获取对应未分配块的块数据。
[0023]在一些具体的实施例中，恢复单元还配置用于响应于匹配到签名，按签名类型的记录数据结构解析并检查URL地址的完整性，计算记录的Hash值并校验是否与Hash集中的Hash重复，若不重复，则保存展示。
[0024]在一些具体的实施例中，签名类型包括URL记录签名、REDR记录签名和LEAK记录签名。
[0025]本专利技术提出了一种用于浏览器上网痕迹碎片的恢复方法和系统，通过对浏览器index.dat缓存文件的数据结构和特征分析，如果未分配块的碎片数据中存在上次分配残留的上网痕迹记录，是可以通过在未分配块进行记录签名(URL、REDR或LEAK)查找匹配，实现被碎片记录数据的恢复重组。通过记录签名搜索、记录类型判定、记录重复性校验等处理流程，能够从index.dat文件的未分配区块的碎片数据，恢复重组出较完整的上网痕迹记录。该方法具有恢复速度快、恢复准确率高的特点。
附图说明
[0026]包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本专利技术的原理。将容易认识到其它实施例和实施例的很多预期优点，因为通过引用以下详细描述，它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：
[0027]图1是本申请的一个实施例的用于浏览器上网痕迹碎片的恢复方法的流程图；
[0028]图2是本申请的一个具体的实施例的index.dat的文件结构示意图；
[0029]图3是本申请的一个具体的实施例的缓存目录表的示意图；
[0030]图4是本申请的一个具体的实施例的分配位图的示意图；
[0031]图5是本申请的一个具体的实施例的用于浏览器上网痕迹碎片的恢复方法的流程图；
[0032]图6是本申请的一个具体的实施本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于浏览器上网痕迹碎片的恢复方法，其特征在于，包括：S1：加载浏览器缓存文件index.dat文件的内容数据，读取正常记录的Hash集；S2：获取所述内容数据中分配位图中未分配块列表，从所述未分配块列表中获取未分配块在所述分配位图的索引位置，并读取所述未分配块的块数据；以及S3：在所述未分配块的块数据中匹配记录签名，响应于未匹配到签名，在所述块数据中正则匹配搜索URL地址，并保存展示。2.根据权利要求1所述的用于浏览器上网痕迹碎片的恢复方法，其特征在于，所述内容数据包括头部信息区和记录区，所述头部信息区包括文件头信息、缓存目录表、未知数据区、分配位图和记录的Hash表。3.根据权利要求2所述的用于浏览器上网痕迹碎片的恢复方法，其特征在于，所述步骤S1在读取正常的Hash集之前，还包括读取并校验所述文件头信息中的文件签名，响应于所述文件签名匹配，读取正常的Hash集。4.根据权利要求3所述的用于浏览器上网痕迹碎片的恢复方法，其特征在于，所述步骤S2中具体包括，从所述未分配块列表Blocks(n)中获取第x个未分配块在所述分配位图的索引位置i，并读取所述第x个未分配块的块数据Block＝Data[0X400+i*128]。5.根据权利要求1所述的用于浏览器上网痕迹碎片的恢复方法，其特征在于，所述步骤S3还包括：响应于匹配到签名，按签名类型的记录数据结构解析并检查URL地址的完整性，计算记录的Hash值并校验是否与所述Hash集中的Hash重复，若不重复，则保存展示。6.根据权利要求5所述的用于浏览器上网痕迹碎片的恢复方法，其特征在于，所述签名类型包括URL记录签名、REDR记录签名和LEAK记录签名。7.根据权利要求4所述的用于浏览器上网痕迹碎片的恢复方法，其特征在于，还包括重复进行所述步骤S2和S3，直至所述未分配块列表中的未分配块全部解析完成。8.一种计算机可读存储介质，其上存储有一或多个计算机程序，...

【专利技术属性】
技术研发人员：刘志祥，黄志炜，苏再添，陈俊珊，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：