[发明专利]基于浏览器客户端应用程序的脱机文件痕迹检测的方法

说明书

技术领域

本发明涉及电子数据取证领域，特别涉及一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法。

背景技术

随着信息技术的高速发展,互联网已经成为人们日常生活的重要组成部分。无论是政府部门、企事业单位，还是普通家庭，到处可以看到互联网的身影。也正是互联网的存在使得我们的生活越来越便捷。同时，人们的交流和沟通方式也正在发生着巨大的改变，越来越多的人喜欢利用互联网强大的搜索引擎进行资料的查找、喜欢利用网络来进行从事多种多样的活动，这一切都离不开Web浏览器，因此Web浏览器也成为了人们获取互联网信息资源而使用的最频繁的一款计算机软件。

然而，互联网再给人们带来方便的同时，同时也滋生不法分子利用互联网进行犯罪活动。由于浏览器的使用，不可避免的会留下大量的互联网访问痕迹，如地址栏、历史记录、Cookies、临时文件、注册表、其他日志文件等。Web浏览器取证就成为打击计算机犯罪的有力工具和手段，为了提高打击计算机犯罪的能力，需要对浏览器取证利于进行深入的研究。如何最大限度的获取网络犯罪相关的历史信息证据，如何恢复犯罪分子已经删除的历史记录信息提取相关证据，将不法分子绳之以法，已经成为计算机取证领域急需解决的问题。

发明内容

本发明针对现有技术的不足，提供一种基于浏览器客户端应用程序的脱机 文件痕迹检测的方法，各个浏览器客户端应用程序的产生的数据文件都是采用厂商自定义的存储格式，传统的数据恢复技术无法应用到该类型的数据提取与恢复；市面上现有技术较难做到快速的提取磁盘中浏览器痕迹信息，还有部分则很难全面地提取浏览器痕迹信息。

为解决以上问题，本发明采用的技术方案如下：一种基于浏览器客户端应用程序的脱机文件痕迹检测的方法，包括以下步骤：S1根据注册表信息判断磁盘中是否安装过浏览器软件；S2定位文件所在路径，并判断磁盘中是否存在包含浏览器痕迹信息的文件，若存在则跳至S3，不存在跳至S5；S3解析由浏览器软件产生的原始数据，解析的主要信息包括历史访问记录、访问次数、地址栏信息、cookies、收藏夹和下载痕迹的信息；S4根据S3中解析痕迹文件的数据，获取该磁盘中浏览器痕迹的所有数据和信息；S5根据S4中获取的结果，分类记录并统计磁盘中浏览器的痕迹信息。

作为优选,S1具体如下：

根据注册表信息判断磁盘中是否安装过浏览器软件，常用到的注册表项:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/MAINH,KEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths，其中第一个路径下键名为x86AppPath的项记录IE安装信息的表项，第二个路径下子路径为其他常用浏览器软件的安装信息的表项，这些注册表项在磁盘中对应的文件路径为c:/windows/system32/config/software，或者解析该文件来获取这些注册表表项的键值信息。

作为优选,S3具体如下：

解析Sqlite数据库文件，根据Sqlite官方提供的文档和动态链接库来解析数据库文件，使用该类型的文件有360安全浏览器的收藏夹信息，Firefox 浏览器的历史记录、收藏夹、下载信息、cookies的信息。

作为优选,S4具体如下：

根据S3中解析痕迹文件的数据格式，获取该磁盘中所有浏览器的历史访问记录、地址栏信息、cookies、收藏夹、下载痕迹、搜索过的关键字、访问次数的信息，特别地，针对痕迹信息文件为sqlite数据库结文件结合其结构特征扫描整个磁盘，获取隐藏的或删除的上网痕迹信息。

本发明的有益效果如下：采用本发明的方法可以快速判断磁盘数据是否包含浏览器痕迹信息格式的数据；同时可以完整提取磁盘中包含的所有浏览器痕迹信息，包括正常和非正常的数据。

附图说明

图1为磁盘浏览器痕迹信息解析主流程。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明做进一步详细说明。