【技术实现步骤摘要】
一种用于浏览器上网痕迹碎片的恢复方法和系统
[0001]本专利技术涉及计算机网络领域,尤其是一种用于浏览器上网痕迹碎片的恢复方法和系统。
技术介绍
[0002]Internet Explorer,简称IE,是微软推出的一款图形用户界面网页浏览器,是广大Windows操作系统用户最为常用的内置应用之一。访问网站网页过程,出于各种软件易用性、网页加速加载等机制和原因,会产生历史记录、缓存记录、Cookies记录、搜索记录等用户上网痕迹,而IE浏览器会将这些上网痕迹信息缓存在特定的文件或数据库中。IE 5到IE 9版本的浏览器主要将上网痕迹存储于缓存文件index.dat。而IE 10到IE 11版本的浏览器主要将上网痕迹存储于ese(Extensible Storage Engine)格式的edb(esedb)数据库文件。
[0003]IE浏览器index.dat缓存文件作为取证分析工作的重要研究对象之一,市面上大部分取证软件基本能够参照IE浏览器界面的实际展示,正确解析并重现index.dat文件中正常可见的上网记录,...
【技术保护点】
【技术特征摘要】
1.一种用于浏览器上网痕迹碎片的恢复方法,其特征在于,包括:S1:加载浏览器缓存文件index.dat文件的内容数据,读取正常记录的Hash集;S2:获取所述内容数据中分配位图中未分配块列表,从所述未分配块列表中获取未分配块在所述分配位图的索引位置,并读取所述未分配块的块数据;以及S3:在所述未分配块的块数据中匹配记录签名,响应于未匹配到签名,在所述块数据中正则匹配搜索URL地址,并保存展示。2.根据权利要求1所述的用于浏览器上网痕迹碎片的恢复方法,其特征在于,所述内容数据包括头部信息区和记录区,所述头部信息区包括文件头信息、缓存目录表、未知数据区、分配位图和记录的Hash表。3.根据权利要求2所述的用于浏览器上网痕迹碎片的恢复方法,其特征在于,所述步骤S1在读取正常的Hash集之前,还包括读取并校验所述文件头信息中的文件签名,响应于所述文件签名匹配,读取正常的Hash集。4.根据权利要求3所述的用于浏览器上网痕迹碎片的恢复方法,其特征在于,所述步骤S2中具体包括,从所述未分配块列表Blocks(n)中获取第x个未分配块在所述分配位图的索引位置i,并读取所述第x个未分配块的块数据Block=Data[0X400+i*128]。5.根据权利要求1所述的用于浏览器上网痕迹碎片的恢复方法,其特征在于,所述步骤S3还包括:响应于匹配到签名,按签名类型的记录数据结构解析并检查URL地址的完整性,计算记录的Hash值并校验是否与所述Hash集中的Hash重复,若不重复,则保存展示。6.根据权利要求5所述的用于浏览器上网痕迹碎片的恢复方法,其特征在于,所述签名类型包括URL记录签名、REDR记录签名和LEAK记录签名。7.根据权利要求4所述的用于浏览器上网痕迹碎片的恢复方法,其特征在于,还包括重复进行所述步骤S2和S3,直至所述未分配块列表中的未分配块全部解析完成。8.一种计算机可读存储介质,其上存储有一或多个计算机程序,...
【专利技术属性】
技术研发人员:刘志祥,黄志炜,苏再添,陈俊珊,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。