CN105426468A - 一种360浏览器历史记录的数据恢复提取方法 - Google Patents

一种360浏览器历史记录的数据恢复提取方法 Download PDF

Info

Publication number
CN105426468A
CN105426468A CN201510785558.XA CN201510785558A CN105426468A CN 105426468 A CN105426468 A CN 105426468A CN 201510785558 A CN201510785558 A CN 201510785558A CN 105426468 A CN105426468 A CN 105426468A
Authority
CN
China
Prior art keywords
data
historical record
access time
extracting
browser
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510785558.XA
Other languages
English (en)
Inventor
梁效宁
许超明
赵飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd
Original Assignee
SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd filed Critical SICHUAN XLY INFORMATION SAFETY TECHNOLOGY Co Ltd
Priority to CN201510785558.XA priority Critical patent/CN105426468A/zh
Publication of CN105426468A publication Critical patent/CN105426468A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种360浏览器历史记录的数据恢复提取方法,包括:获取存储历史记录文件;解析文件,找到历史记录位置;分析每条历史记录的格式;对历史记录的数据进行分类和排序;提取数据。本发明的有益效果如下:可以找到历史记录的数据存储位置,可工具历史记录的特征来区分和整理数据,提取有序的数据缩短针对有效数据的查找时间,提高工作效率。

Description

一种360浏览器历史记录的数据恢复提取方法
技术领域
本发明涉及信息安全技术领域,特别涉及一种360浏览器历史记录的数据恢复提取方法。
背景技术
在信息化迅速发展的21世纪,计算机技术日新月异,与人们的日常生活息息相关,网络的快速发展导致利用计算机进行网络犯罪的行为逐渐增加,浏览器历史痕迹成为计算机取证的重点。
目前,基于WindowsXP系统的360浏览器,保存记录的方法一般是通过dat文件保存;市面上没有工具或者方法针对这种文件格式进行解析和提取,故在遇到这种浏览器历史痕迹被删除后,如果没有解析的方法,整个破案环节就陷入僵局。
发明内容
本发明针对现有技术的缺陷,提供了一种360浏览器历史记录的数据恢复提取方法,能有效的解决上述现有技术存在的问题。
一种360浏览器历史记录的数据恢复提取方法,包括下面步骤:
S1:获取存储360浏览器历史记录文件;
S2:解析dat文件,找到底层数据中历史记录的开始位置;
S3:遍历历史记录数据,分析每条历史记录的格式,包括数据状态、访问时间、URL内容;
S4:根据数据状态、访问时间和URL地址来对历史记录的数据进行分类和排序;
S5:提取分类排序后的数据。
作为优选,所述S4中的数据状态的分类方法为:按照每条记录状态标记第一个字节是“0x00”即表示本条数据为正常数据,第一字节为“0x01”即表示本条数据为已删除数据。
作为优选,所述S4的排序方法是根据访问时间的升序或降序分别将正常数据和已删除数据排序,并以数据状态、访问时间和URL地址的顺序进行组合。
与现有技术相比本发明的优点在于:可以找到历史记录的数据存储位置,可工具历史记录的特征来区分和整理数据,提取有序的数据缩短针对有效数据的查找时间,提高工作效率。
附图说明
图1为本发明实施例360浏览器底层数据历史记录的十六进制数据图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
一种360浏览器历史记录的数据恢复提取方法,包括下面步骤:
S1:获取存储360浏览器历史记录文件,其路径为:“C:\DocumentsandSettings\Administrator\ApplicationData\360se\data\history.dat”;
S2:解析dat文件,找到底层数据中历史记录的开始位置,通过文件开始偏移0x28字节,长度4个字节是跳转到历史记录开始位置的特征;
S3:遍历历史记录数据,分析每条历史记录的格式,包括数据状态、访问时间、URL内容;
如图1所示,每条历史记录格式为:从历史记录开始位置偏移固定9个字节“000100000000000000”是每条记录的状态标记;紧跟的8个字节“0110300501000000”是固定标记;在固定标记后4个字节“01315153”是小端Unix时间戳的访问时间;访问时间后的4个字节是主题长度的一半,因为其主题记录为unicode码,主题内容从主题长度后第一字节开始;主题后4个字节是URL地址长度,URL地址从长度后第一字节开始;这是一条历史记录的完整结构,依次向后都可按照上述结构扫描并记录数据,直至遍历完所有的历史记录。
S4:根据数据状态、访问时间和URL地址来对历史记录的数据进行分类和排序;数据状态按照每条记录状态标记第一个字节是0x00即表示本条数据为正常数据,第一字节为0x01即表示本条数据为已删除数据;可先区分正常数据和已删除数据,然后根据访问时间的升序或降序分别将正常数据和已删除数据排序,并以数据状态、访问时间和URL地址的顺序进行组合。
S5:提取分类后的数据。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。

Claims (3)

1.一种360浏览器历史记录的数据恢复提取方法,其特征在于包括以下步骤:
S1:获取存储360浏览器历史记录文件,其路径为:“C:\DocumentsandSettings\Administrator\ApplicationData\360se\data\history.dat”;
S2:解析dat文件,找到底层数据中历史记录的开始位置;
S3:遍历历史记录数据,分析每条历史记录的格式,包括数据状态、访问时间、URL内容;
S4:根据数据状态、访问时间和URL地址来对历史记录的数据进行分类和排序;
S5:提取分类排序后的数据。
2.根据权利要求1的一种360浏览器历史记录的数据恢复提取方法,其特征在于:所述S4中的数据状态的分类方法是按照每条记录状态标记第一个字节是“0x00”即表示本条数据为正常数据,第一字节为“0x01”即表示本条数据为已删除数据。
3.根据权利要求2的一种360浏览器历史记录的数据恢复提取方法,其特征在于:所述S4的排序方法是根据访问时间的升序或降序分别将正常数据和已删除数据排序,并以数据状态、访问时间和URL地址的顺序进行组合。
CN201510785558.XA 2015-11-16 2015-11-16 一种360浏览器历史记录的数据恢复提取方法 Pending CN105426468A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510785558.XA CN105426468A (zh) 2015-11-16 2015-11-16 一种360浏览器历史记录的数据恢复提取方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510785558.XA CN105426468A (zh) 2015-11-16 2015-11-16 一种360浏览器历史记录的数据恢复提取方法

Publications (1)

Publication Number Publication Date
CN105426468A true CN105426468A (zh) 2016-03-23

Family

ID=55504680

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510785558.XA Pending CN105426468A (zh) 2015-11-16 2015-11-16 一种360浏览器历史记录的数据恢复提取方法

Country Status (1)

Country Link
CN (1) CN105426468A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115629915A (zh) * 2022-12-07 2023-01-20 深圳华声医疗技术股份有限公司 医疗设备数据处理方法、装置、医疗设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070226170A1 (en) * 2005-12-06 2007-09-27 David Sun Forensics tool for examination and recovery and computer data
CN101369276A (zh) * 2008-09-28 2009-02-18 杭州电子科技大学 一种Web浏览器缓存数据的取证方法
CN103139293A (zh) * 2013-01-25 2013-06-05 四川神琥科技有限公司 一种根据痕迹类型进行编码还原的痕迹信息获取方法
CN103699624A (zh) * 2013-12-19 2014-04-02 北京奇虎科技有限公司 浏览器数据的处理方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070226170A1 (en) * 2005-12-06 2007-09-27 David Sun Forensics tool for examination and recovery and computer data
CN101369276A (zh) * 2008-09-28 2009-02-18 杭州电子科技大学 一种Web浏览器缓存数据的取证方法
CN103139293A (zh) * 2013-01-25 2013-06-05 四川神琥科技有限公司 一种根据痕迹类型进行编码还原的痕迹信息获取方法
CN103699624A (zh) * 2013-12-19 2014-04-02 北京奇虎科技有限公司 浏览器数据的处理方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
朱小龙等: "浏览器历史痕迹提取技术", 《信息网络安全》 *
陶姿邑等: "浏览器取证技术", 《计算机系统应用》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115629915A (zh) * 2022-12-07 2023-01-20 深圳华声医疗技术股份有限公司 医疗设备数据处理方法、装置、医疗设备及存储介质

Similar Documents

Publication Publication Date Title
Pal et al. The evolution of file carving
CN101763394B (zh) 计算机系统涉密文件搜索方法
CN101441687B (zh) 一种提取病毒文件的病毒特征的方法及其装置
CN102937926A (zh) 一种恢复移动终端已删除sqlite文件的方法及装置
CN103092726B (zh) 注册表删除数据的恢复方法和装置
JP2009140161A5 (zh)
CN106844607B (zh) 一种适用于非整型主键与空闲块合并的SQLite数据恢复方法
CN104050269A (zh) 日志压缩方法及装置、解压缩方法及装置
CN106201774B (zh) 一种nand flash存储芯片数据存储结构分析方法
CN104462433A (zh) 一种恢复fat32分区数据的方法
CN103927400A (zh) Web网站产品详细信息的分类抓取及产品信息库建立方法
CN104021217A (zh) 一种提取手机碎片文件和被删除文件的系统和方法
CN105068889B (zh) 恢复Ext3/Ext4中已彻底删除文件的方法
CN102682024A (zh) 未残缺jpeg文件碎片重组的方法
CN105447168A (zh) Mp4格式的碎片文件恢复与重组的方法
CN105426468A (zh) 一种360浏览器历史记录的数据恢复提取方法
CN103870364B (zh) 一种基于时间戳的yaffs2文件最终版恢复方法
CN103856365A (zh) 客户终端接入设备自动测试方法和系统
Ravi et al. A method for carving fragmented document and image files
CN102073682B (zh) 一种基于编码方式的文档数据恢复系统及其快速恢复方法
CN104079450A (zh) 特征模式集生成方法及装置
CN106874147A (zh) 一种恢复并解析Windows操作系统预读文件的方法
CN106886439B (zh) 一种对scm安全基线知识库进行快速初始化的方法
CN101261632B (zh) 一种基于HTML文法树的FrontPage操作阅卷方法
CN105488173A (zh) 一种360浏览器历史记录的恢复提取方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160323

RJ01 Rejection of invention patent application after publication