[发明专利]基于浏览器客户端应用程序的脱机文件痕迹检测的方法

权利要求书

1.一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，其特征在于,步骤如下：S1根据注册表信息判断磁盘中是否安装过浏览器软件；S2定位文件所在路径，并判断磁盘中是否存在包含浏览器痕迹信息的文件，若存在则跳至S3，不存在跳至S5；S3解析由浏览器软件产生的原始数据，解析的主要信息包括历史访问记录、访问次数、地址栏信息、cookies、收藏夹和下载痕迹的信息；S4根据S3中解析痕迹文件的数据，获取该磁盘中浏览器痕迹的所有数据和信息；S5根据S4中获取的结果，分类记录并统计磁盘中浏览器的痕迹信息。

2.根据权利要求1所述的一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，其特征在于,S1具体如下：

根据注册表信息判断磁盘中是否安装过浏览器软件，常用到的注册表项:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/MAINH,KEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths，其中第一个路径下键名为x86AppPath的项记录IE安装信息的表项，第二个路径下子路径为其他常用浏览器软件的安装信息的表项，这些注册表项在磁盘中对应的文件路径为c:/windows/system32/config/software，或者解析该文件来获取这些注册表表项的键值信息。

3.根据权利要求2所述的一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，其特征在于,S3具体如下：

解析Sqlite数据库文件，根据Sqlite官方提供的文档和动态链接库来解析数据库文件，使用该类型的文件有360安全浏览器的收藏夹信息，Firefox浏览器的历史记录、收藏夹、下载信息、cookies的信息。

4.根据权利要求3所述的一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，其特征在于,S4具体如下：

根据S3中解析痕迹文件的数据格式，获取该磁盘中所有浏览器的历史访问记录、地址栏信息、cookies、收藏夹、下载痕迹、搜索过的关键字、访问次数的信息，特别地，针对痕迹信息文件为sqlite数据库结文件结合其结构特征扫描整个磁盘，获取隐藏的或删除的上网痕迹信息。