CN106547771A - 基于安卓系统的网页浏览记录恢复的方法 - Google Patents
基于安卓系统的网页浏览记录恢复的方法 Download PDFInfo
- Publication number
- CN106547771A CN106547771A CN201510604823.XA CN201510604823A CN106547771A CN 106547771 A CN106547771 A CN 106547771A CN 201510604823 A CN201510604823 A CN 201510604823A CN 106547771 A CN106547771 A CN 106547771A
- Authority
- CN
- China
- Prior art keywords
- page
- database
- data
- web page
- root
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2358—Change logging, detection, and notification
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种基于安卓系统的网页浏览记录恢复的方法,属于数据恢复领域,包括以下步骤:S1:提取安卓设备的网页浏览记录数据库的信息并至本地存储空间;S2:解析网页浏览记录数据库的数据结构并找到被删除的数据S3:根据数据库结构,配置相应的数据库特征,记录配置信息;S4:将提取的被删除数据注入新建的数据库中。本发明的有益效果如下:采用本发明的方法可以更全面、安全的恢复出基于安卓系统的正常及删除网页浏览记录,能够应用在公检法等需要进行数据取证的部门。
Description
技术领域
本发明属于数据恢复领域,具体涉及一种基于安卓系统的网页浏览记录恢复的方法。
背景技术
近年来,智能手机由于其无线接入互联网、PDA、开发性的操作系统、人性化、功能强大及运行速度快等特点,发展极为迅速,据《2013-2017年中国智能手机行业市场需求预测与投资战略规划分析报告》估算,2012前三季度,全球智能手机用户总数已经突破了10亿大关。而2011前三季度的用户量只有约7亿户。可以看出,智能手机市场的潜力不可估量,而其中,由谷歌独家推出的智能操作系统-安卓成为其中的佼佼者,据CNET报道,调研机构StrategyAnalytics 2014年第三季度报告中显示,Android以83.6%的市场占有率稳居移动操作系统市场之首,可以看出,智能手机取证尤其是安卓手机取证对于取证领域的重要性。
安卓手机取证,主要针对其app应用数据及照片、视频、音频等的提取恢复,其中安卓app应用数据主要以sqlite数据库文件、plist文件、xml文件及一些文本文件等形式存储在手机中,通过adb调试工具将对应的app数据文件取出即可对其进行分析取证。
手机浏览器由于其庞大的用户群决定了其对于手机取证的的重要性,手机浏览网页记录以明文存储于sqlite数据库文件中,传统的提取方法有以下缺点:1、读取的数据很少,并且很多是无用的信息;2、不能提取删除的信息。另外,对于基于安卓系统的其它设备,如平板等也同样存在上述问题。
发明内容
本发明针对现有技术的不足,提供了一种基于安卓系统的网页浏览记录恢复的方法,能够解决现有技术不能完整的提取基于安卓系统的正常及删除网页浏览记录的问题。
为解决以上问题,本发明采用的技术方案如下:一种基于安卓系统的网页浏览记录恢复的方法,步骤如下:
S1:提取安卓设备的网页浏览记录数据库的信息并至本地存储空间;
S2:解析网页浏览记录数据库的数据结构并找到被删除的数据;
S3:根据数据库结构,配置相应的数据库特征,记录配置信息;
S4:将提取的被删除数据注入新建的数据库中。
作为优选,所述S2的详细步骤如下:
S201:查找安卓设备网页浏览记录的数据库文件头的页大小特征,确定数据库文件中的页大小;
S202:通过SQLite_Matter表的rootpage字段找到根页编号,根据根页编号计算出根页起始地址,公式为根页的起始地址=页的大小*(根页编号-1);
S203:根据S202的根页起始地址得到根页页头,根据根页页头特征得到其所有内部页的数量及每个内部页的页头位置;
S204:分析所有内部页页头特征得到其叶子页数量及每个叶子页的页头;
S205:根据叶子页页头特征区分出所有叶子页中有空闲块的叶子页;
S206:根据有空闲块的叶子页页头特征找到空闲块头部的起始地址;
S207:找到空闲块尾部,并记录整个空闲块数据。
作为优选,所述S3的详细步骤如下:
S301:分析数据库表的结构定义和数据存储格式;
S302:配置被删除数据的字段属性及字段长度。
本发明的有益效果如下:1、与现有技术相比,提取的删除网页浏览记录数量多;2、因为采用了将数据拷贝的方式,可以不直接操作手机,更好的保护了源数据的安全;3、由于具备字段特征库匹配功能,可以自动过滤多余的数据。综上所述,采用本发明的方法可以更全面、安全的恢复出基于安卓系统的正常及删除网页浏览记录,能够应用在公检法等需要进行数据取证的部门。
附图说明
图1手机网页浏览记录恢复主流程图;
图2B-Tree页的树形结构。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
一种基于安卓系统的网页浏览记录恢复的方法,本实施例以手机为例,如图1所示,包括以下步骤:
101-获取手机的网页浏览记录数据库的信息,并将其拷贝出来;
102-通过十六进制编辑器解析网页浏览记录数据库的数据结构;
103-通过数据库编辑工具配置102解析出的数据结构的特征库文件,得到配置后的数据库文件信息。
102的具体步骤如下:
201-解析手机网页浏览记录删除的区域;
原理:手机中未删除的数据在数据库中可以直接看到,已经删除的数据库里无法直接查看,要根据SQLite数据库的存储特性,进行数据表记录的恢复。
SQLite数据库文件结构,数据库的每一个表都是由多个B-Tree页组成。如果删除数据所在的页存在其他未删除数据,则删除数据区域只会变成一个空闲块,其中的数据并没有真正删除,并且数据库文件大小不变。图2所示的是B-Tree页的树形结构。其中,根页和内部页主要用于导航,目的是找到存储于叶子页中的数据记录,其中包括已删除的数据。
具体方法如下:解析手机网页浏览记录的SQLite数据库,通过数据库编辑工具查找数据库文件头确定数据库文件中页的大小。
实施例:解析该数据库文件头,可以知道B_Tree页的大小为0X1000。从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大小*(根页-1)。本例中存放浏览器的历史记录的数据表为cache,根页为5,所以这个表的数据从地址0X4000开始。
202-解析根页的内部页的起始地址;
通过十六进制数据分析工具得到第一个字节0X05,这个字节表示本页是内部表B-tree页,偏移3个字节后的数值M即为这个内部页包括的叶子页数量,偏移M字节即为每个表的起始地址。
实施例:通过十六进制编辑器(WinHex)得到第一个字节0X05,这个字节表示本页是内部表B-tree页,偏移3个字节后的0X0030表示这个内部页包括48个叶子页,0X0EF7是每个表的起始地址,0X0FFB到0X0EF7为48个叶子页的指针数组。
203-解析单个叶子页;
解析202步骤中的叶子页其中一个叶子页的数据。第一个字节0X0D(0D表示叶子页,05表示根页)表示本页是叶子页表B-tree页,找到第一个空闲块的偏移地址;第一个空闲块的偏移地址即为删除数据的起始地址,空闲块的前两个字节为下一个空闲块的偏移地址,接下来的两个字节0X00D0表示本空闲块的大小,后面为删除数据的十六进制数据流。如果遇到下一个空闲块的前两个字节为0,则表示结束。
103的具体步骤如下:
301根据102解析出的数据库的数据结构,确定需要配置的表;
302通过数据库编辑工具配置需要恢复的相关字段,得到配置后的特征库文件。
步骤103中使用到的数据库编辑工具为现有技术。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (3)
1.一种基于安卓系统的网页浏览记录恢复的方法,其特征在于,步骤如下:
S1:提取安卓设备的网页浏览记录数据库的信息并至本地存储空间;
S2:解析网页浏览记录数据库的数据结构并找到被删除的数据;
S3:根据数据库结构,配置相应的数据库特征,记录配置信息;
S4:将提取的被删除数据注入新建的数据库中。
2.根据权利要求1所述的一种基于安卓系统的网页浏览记录恢复的方法,其特征在于,所述S2的详细步骤如下:
S201:查找安卓设备网页浏览记录的数据库文件头的页大小特征,确定数据库文件中的页大小;
S202:通过SQLite_Matter表的rootpage字段找到根页编号,根据根页编号计算出根页起始地址,公式为根页的起始地址=页的大小*(根页编号-1);
S203:根据S202的根页起始地址得到根页页头,根据根页页头特征得到其所有内部页的数量及每个内部页的页头位置;
S204:分析所有内部页页头特征得到其叶子页数量及每个叶子页的页头;
S205:根据叶子页页头特征区分出所有叶子页中有空闲块的叶子页;
S206:根据有空闲块的叶子页页头特征找到空闲块头部的起始地址;
S207:找到空闲块尾部,并记录整个空闲块数据。
3.根据权利要求1或2所述的一种基于安卓系统的网页浏览记录恢复的方法,其特征在于,所述S3的详细步骤如下:
S301:分析数据库表的结构定义和数据存储格式;
S302:配置被删除数据的字段属性及字段长度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510604823.XA CN106547771A (zh) | 2015-09-18 | 2015-09-18 | 基于安卓系统的网页浏览记录恢复的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510604823.XA CN106547771A (zh) | 2015-09-18 | 2015-09-18 | 基于安卓系统的网页浏览记录恢复的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106547771A true CN106547771A (zh) | 2017-03-29 |
Family
ID=58364583
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510604823.XA Pending CN106547771A (zh) | 2015-09-18 | 2015-09-18 | 基于安卓系统的网页浏览记录恢复的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106547771A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012167073A1 (en) * | 2011-06-03 | 2012-12-06 | Chicago Electronic Discovery Llc | Methods, apparatuses, and computer program products for database record recovery |
CN103064764A (zh) * | 2012-12-28 | 2013-04-24 | 盘石软件(上海)有限公司 | 一种快速恢复安卓手机删除信息的取证方法 |
KR20140083556A (ko) * | 2012-12-26 | 2014-07-04 | 고려대학교 산학협력단 | SQLite 데이터베이스에서 삭제된 데이터의 복원 방법 및 장치 |
CN104021217A (zh) * | 2014-06-23 | 2014-09-03 | 四川效率源信息安全技术有限责任公司 | 一种提取手机碎片文件和被删除文件的系统和方法 |
-
2015
- 2015-09-18 CN CN201510604823.XA patent/CN106547771A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012167073A1 (en) * | 2011-06-03 | 2012-12-06 | Chicago Electronic Discovery Llc | Methods, apparatuses, and computer program products for database record recovery |
KR20140083556A (ko) * | 2012-12-26 | 2014-07-04 | 고려대학교 산학협력단 | SQLite 데이터베이스에서 삭제된 데이터의 복원 방법 및 장치 |
CN103064764A (zh) * | 2012-12-28 | 2013-04-24 | 盘石软件(上海)有限公司 | 一种快速恢复安卓手机删除信息的取证方法 |
CN104021217A (zh) * | 2014-06-23 | 2014-09-03 | 四川效率源信息安全技术有限责任公司 | 一种提取手机碎片文件和被删除文件的系统和方法 |
Non-Patent Citations (1)
Title |
---|
张开翔等: "iPhone短信删除数据恢复方法的研究", 《现代计算机(专业版)》 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101456757B1 (ko) | SQLite 데이터베이스에서 삭제된 데이터의 복원 방법 및 장치 | |
CN103530429B (zh) | 一种网页正文抽取的方法 | |
CN104090922B (zh) | 一种清理隐私数据的方法和装置 | |
CN102270206A (zh) | 一种有效网页内容的抓取方法及装置 | |
CN110109910A (zh) | 数据处理方法及系统、电子设备和计算机可读存储介质 | |
JP5930496B2 (ja) | レイアウトファイルにおける構造化情報の取得方法及び装置 | |
CN104869009A (zh) | 网站数据统计的系统和方法 | |
CN101582074B (zh) | 一种DeepWeb响应页面数据抽取方法 | |
CN101882135B (zh) | 一种兴趣点数据处理方法和装置 | |
CN105373541A (zh) | 数据库的数据操作请求的处理方法和系统 | |
CN111125298A (zh) | 重建ntfs文件目录树的方法、设备及存储介质 | |
CN109101491B (zh) | 一种作者信息抽取方法、装置、计算机装置及计算机可读存储介质 | |
CN106682003A (zh) | 分布式存储命名空间的路径分割映射方法和装置 | |
CN105095436A (zh) | 数据源数据自动建模方法 | |
CN105653403B (zh) | 一种mdb文件数据的恢复方法及其系统 | |
Kim et al. | Recovery method of deleted records and tables from ESE database | |
CN111176901B (zh) | 一种hdfs删除文件恢复方法、终端设备及存储介质 | |
CN101751403B (zh) | 将超文字标签语言文件转换成纯文字文件的方法 | |
CN103853771A (zh) | 一种搜索结果的推送方法及系统 | |
KR20130136730A (ko) | 비정형 로그 압축 저장 및 조회 방법 및 장치 | |
CN106294401A (zh) | 自动建立sql名单库的方法及装置 | |
CN106547771A (zh) | 基于安卓系统的网页浏览记录恢复的方法 | |
CN107621924A (zh) | 一种基于云端清理固态硬盘数据的方法和装置 | |
CN111984600B (zh) | 一种文件聚合方法、装置、设备及可读存储介质 | |
CN106557387A (zh) | 基于安卓系统的新闻客户端阅读记录恢复的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170329 |