查看原文
其他

【技术视界】第17期:电子取证— 360浏览器历史记录数据恢复提取方法

2016-07-07 效率源科技
编者按

       本期,数据恢复四川省重点实验室科研人员将介绍360浏览器历史浏览记录数据恢复提取方法。其中,针对XP系统下的二进制dat文件解析方法在市场上属于首创,可助力一线取证人员对360浏览器历史记录文件进行快速解析和提取,为电子取证和案件侦破提供关键线索。

一、背景介绍

       近年来,利用计算机进行网络犯罪呈高增长态势,浏览器历史痕迹成为计算机取证的重点。由于某些浏览器保存记录方法是自己特定的格式,市面上很少有工具或者方法针对这种文件解析,所以这种浏览器历史痕迹被删除后,如果没有解析方法,整个痕迹提取环节就陷入僵局。


       目前,市面上主要浏览器有微软IE、谷歌Chrome、奇虎360浏览器、搜狗浏览器、百度浏览器等。其中,360浏览器作为主流浏览器之一,占有较高市场份额,而它的浏览器保存记录方法就属于特定格式。因此,研究360浏览器的历史痕迹提取方法并形成有效的电子证据,对计算机取证有重要意义。


【图1:2015年8月浏览器市场占有率统计】


二、技术方案

1.确定360浏览器历史痕迹文件位置

       360浏览器历史记录文件在不同操作系统中存储位置也不一样,根据目前分析结果,归纳如下:


       360痕迹文件在Windows xp 系统下路径为:C:\Documents and Settings\用户名\Application Data\360se\data\ history.dat。


        360痕迹文件在Windows 7/8 系统下路径为:C:\Users\用户名\AppData\Roaming\360se6\User Data\Default\ History(如图2)。


【图2:360痕迹文件在Windows 7 系统下路径】


2.分清360浏览器历史痕迹文件的类型

       360浏览器历史痕迹文件在不同操作系统下位置不一样,在不同操作系统中记录历史痕迹的文件类型也不一样。目前研究发现,360浏览器历史痕迹文件主要有两类;一类是XP系统下的二进制dat文件类型;另一类是win 7/8 系统下的sqlite3 数据库类型。


3.解析360浏览器历史痕迹文件

       3.1解析sqlite3数据库

       Sqlite3是一种轻型数据库,目前有多种成熟解析与提取方法,有众多软件可以支持该数据库提取,如sqlite expert、效率源手机数据恢复工具For Sqlite 2014等都可以直接打开查看(如图3)。

 
【图3:利用效率源手机数据恢复工具查看Sqlite3数据库】


       针对删除历史痕迹信息,可以使用“效率源手机数据恢复工具For Sqlite 2014”软件中的特征库方式进行全盘检索恢复。所谓的特征库方式,就是按照现有数据排列格式在空闲区域中进行筛查,判断是否存在这种规律的数据,存在即为删除丢失的历史痕迹信息(如图4)。

 
 【图4:绿色部分为正常数据,红色部分为丢失删除数据】


       3.2解析二进制dat文件

       目前,市面上针对二进制dat文件的解析方法还没有。数据恢复四川省重点实验室科研人员发明了一种方法,可以使用16进制查看二进制dat文件的数据(如图5)。


 【图5:利用16进制查看二进制dat文件】


       在图5中,可以人工分析出360浏览器二进制dat文件中记录的时间、主题、网址等信息。此外,这些信息也可以直接使用“效率源DF电子数据分析系统”进行分析查看(如图6)。

 
【图6:利用“效率源DF电子数据分析系统”进行分析查看】


结语:360浏览器历史痕迹文件主要分为sqlite3数据库和二进制dat文件两种类型。针对sqlite3数据库,市场上已有成熟解析方法,对其中删除信息,可以利用“效率源手机数据恢复工具For Sqlite 2014”进行快速检索恢复;针对二进制dat文件,数据恢复四川省重点实验室科研人员发明的利用16进制查看二进制dat文件方法,能成功进行数据解析,此方法已成功应用在“效率源DF电子数据分析系统”中,在电子取证过程中发挥了重要作用。


备 注转载文章请注明出处并保持原图文不变!

【技术视界】系列推荐

1、【技术视界】第1期:手机取证-手机音频文件恢复提取技术研究

2、【技术视界】第2期:精确读取  提高缺陷硬盘数据恢复成功率

3、【技术视界】第3期: 如何利用S.M.A.R.T.技术对硬盘进行健康体检?

4、【技术视界】第4期: 电子取证-WD硬盘固件损坏的文件恢复提取技术研究

5、【技术视界】第5期:电子取证——智能手机定位痕迹如何快速提取?

6、【技术视界】第6期:电子取证——日立硬盘BIOS加密无法访问的快速解密方法技术研究

7、【技术视界】第7期:手机取证-SQLite数据库文件恢复提取技术研究

8、【技术视界】第8期:视频侦查-监控主机自动识别技术研究

9、【技术视界】第9期:视频侦查——不转码直接检索监控视频的方法探讨

10、【技术视界】第10期:电子取证— RAID 5、RAID 6崩溃的数据恢复取证提取技术研究

11、【技术视界】第11期:教你怎么编写智能手机APP的取证脚本

12、【技术视界】第12期:电子取证反向思维 防御手机APP偷窃破案机密的2个高招

13、【技术视界】第13期:希捷硬盘修复P表实现数据恢复的电子取证方法研究

14、【技术视界】第14期:手机取证——关于iPhone手机数据提取方式的探讨

15、【技术视界】第15期:智能手机APP取证脚本编写续—iPhone数据提取与解析

16、【技术视界】第16期:视侦检索技术(一)——视频解码研究


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存