一种360浏览器历史记录的数据恢复提取方法

一种360浏览器历史记录的数据恢复提取方法
【技术领域】
[0001]本发明涉及信息安全技术领域，特别涉及一种360浏览器历史记录的数据恢复提取方法。
【背景技术】
[0002]在信息化迅速发展的21世纪，计算机技术日新月异，与人们的日常生活息息相关，网络的快速发展导致利用计算机进行网络犯罪的行为逐渐增加，浏览器历史痕迹成为计算机取证的重点。
[0003]目前，基于Windows XP系统的360浏览器，保存记录的方法一般是通过dat文件保存；市面上没有工具或者方法针对这种文件格式进行解析和提取，故在遇到这种浏览器历史痕迹被删除后，如果没有解析的方法，整个破案环节就陷入僵局。

【发明内容】

[0004]本发明针对现有技术的缺陷，提供了一种360浏览器历史记录的数据恢复提取方法，能有效的解决上述现有技术存在的问题。
[0005]—种360浏览器历史记录的数据恢复提取方法，包括下面步骤:
[0006]S1:获取存储360浏览器历史记录文件；
[0007]S2:解析dat文件，找到底层数据中历史记录的开始位置；
[0008]S3:遍历历史记录数据，分析每条历史记录的格式，包括数据状态、访问时间、URL内容；
[0009]S4:根据数据状态、访问时间和URL地址来对历史记录的数据进行分类和排序；
[0010]S5:提取分类排序后的数据。
[0011]作为优选，所述S4中的数据状态的分类方法为:按照每条记录状态标记第一个字节是“0x00”即表示本条数据为正常数据，第一字节为“0x01”即表示本条数据为已删除数据。
[0012]作为优选，所述S4的排序方法是根据访问时间的升序或降序分别将正常数据和已删除数据排序，并以数据状态、访问时间和URL地址的顺序进行组合。
[0013]与现有技术相比本发明的优点在于:可以找到历史记录的数据存储位置，可工具历史记录的特征来区分和整理数据，提取有序的数据缩短针对有效数据的查找时间，提高工作效率。
【附图说明】
[0014]图1为本发明实施例360浏览器底层数据历史记录的十六进制数据图。
【具体实施方式】
[0015]为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明做进一步详细说明。
[0016]—种360浏览器历史记录的数据恢复提取方法，包括下面步骤:
[0017]S1:获取存储360浏览器历史记录文件，其路径为:“C: \Documents andSettings\Administrator\Applicat1n Data\360se\data\history, dat，，；
[0018]S2:解析dat文件，找到底层数据中历史记录的开始位置，通过文件开始偏移0x28字节，长度4个字节是跳转到历史记录开始位置的特征；
[0019]S3:遍历历史记录数据，分析每条历史记录的格式，包括数据状态、访问时间、URL内容；
[0020]如图1所示，每条历史记录格式为:从历史记录开始位置偏移固定9个字节“0001 00 00 00 00 00 00 00”是每条记录的状态标记；紧跟的8个字节“01 10 30 05 01 0000 00”是固定标记；在固定标记后4个字节“01 31 51 53”是小端Unix时间戳的访问时间；访问时间后的4个字节是主题长度的一半，因为其主题记录为Unicode码，主题内容从主题长度后第一字节开始；主题后4个字节是URL地址长度，URL地址从长度后第一字节开始；这是一条历史记录的完整结构，依次向后都可按照上述结构扫描并记录数据，直至遍历完所有的历史记录。
[0021]S4:根据数据状态、访问时间和URL地址来对历史记录的数据进行分类和排序；数据状态按照每条记录状态标记第一个字节是0x00即表示本条数据为正常数据，第一字节为0x01即表示本条数据为已删除数据；可先区分正常数据和已删除数据，然后根据访问时间的升序或降序分别将正常数据和已删除数据排序，并以数据状态、访问时间和URL地址的顺序进行组合。
[0022]S5:提取分类后的数据。
[0023]本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的实施方法，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。
【主权项】
1.一种360浏览器历史记录的数据恢复提取方法，其特征在于包括以下步骤: 51:获取存储360浏览器历史记录文件，其路径为:“C: \Documents and Settings'Administrator\Applicat1n Data\360se\data\history, dat，，； 52:解析dat文件，找到底层数据中历史记录的开始位置； 53:遍历历史记录数据，分析每条历史记录的格式，包括数据状态、访问时间、URL内容； 54:根据数据状态、访问时间和URL地址来对历史记录的数据进行分类和排序； 55:提取分类排序后的数据。2.根据权利要求1的一种360浏览器历史记录的数据恢复提取方法，其特征在于:所述S4中的数据状态的分类方法是按照每条记录状态标记第一个字节是“0x00”即表示本条数据为正常数据，第一字节为“0x01”即表示本条数据为已删除数据。3.根据权利要求2的一种360浏览器历史记录的数据恢复提取方法，其特征在于:所述S4的排序方法是根据访问时间的升序或降序分别将正常数据和已删除数据排序，并以数据状态、访问时间和URL地址的顺序进行组合。
【专利摘要】本发明公开了一种360浏览器历史记录的数据恢复提取方法，包括：获取存储历史记录文件；解析文件，找到历史记录位置；分析每条历史记录的格式；对历史记录的数据进行分类和排序；提取数据。本发明的有益效果如下：可以找到历史记录的数据存储位置，可工具历史记录的特征来区分和整理数据，提取有序的数据缩短针对有效数据的查找时间，提高工作效率。
【IPC分类】G06F17/30
【公开号】CN105426468
【申请号】CN201510785558
【发明人】梁效宁, 许超明, 赵飞
【申请人】四川效率源信息安全技术股份有限公司
【公开日】2016年3月23日
【申请日】2015年11月16日