一种360浏览器历史记录的恢复提取方法
【技术领域】
[0001] 本发明涉及信息安全技术领域,特别涉及一种360浏览器历史记录的恢复提取方 法。
【背景技术】
[0002] 在信息化迅速发展的21世纪,计算机技术日新月异,与人们的日常生活息息相关, 网络的快速发展导致利用计算机进行网络犯罪的行为逐渐增加,浏览器历史痕迹成为计算 机取证的重点。
[0003] 目前,基于Windows 7和8系统的360浏览器,保存记录的方法一般是通过SQLite数 据库的方式保存;市面上没有工具或者方法针对这种文件格式进行解析和提取,故在遇到 这种浏览器历史痕迹被删除后,如果没有解析的方法,整个破案环节就陷入僵局。
【发明内容】
[0004] 本发明针对现有技术的缺陷,提供了一种360浏览器历史记录的恢复提取方法,能 有效的解决上述现有技术存在的问题。
[0005] -种360浏览器历史记录的恢复提取方法,包括下面步骤:
[0006] S1:获取存储360浏览器历史记录的数据库;
[0007] S2:查找数据库文件头确定数据库文件中页的大小;
[0008] S3:从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大 小*(根页-1);
[0009] S4:找到存放360浏览器历史记录的数据表,从表的根页开始,依次遍历所有页,判 断页类型,若为叶子页,则记录下该页页号;若为内部页,则查找该内部页的所有叶子页,记 录该内部页的页号及所有叶子页的页号;
[0010] S5:所有页都遍历完成后,返回所有的页号,并使页号在逻辑上形成B树;
[0011] S6:根据B树,依次取出页号,读取页内容;
[0012] S7:对于每个页,判断页类型,以该页中的管理字节区分正常数据、删除数据、碎片 数据并标记;标记所有页;
[0013] S8:将所有叶子页对应的底层数据进行结构划分,其结构划分与360数据库基本数 据特征一致;所述结构划分按360数据库基本数据特征的一个表中每一条记录的大小和记 录中每一个字段的大小进行划分。
[0014] S9:根据页中的分段提取底层数据,并结合对应的数据类型将数据转换为可视类 型;
[0015] S10:结合S7中的标记区分出S9提取数据中的删除的数据和碎片数据;
[0016] S11:根据数据状态、访问时间和浏览器访问网址来对S10的提取的数据进行分类 和排序;然后根据访问时间的升序或降序分别将删除的数据和碎片数据排序,并以数据状 态、访问时间和URL地址的顺序进行组合。
[0017] 与现有技术相比本发明的优点在于:可以找到360历史记录中的被删除数据和碎 片数据,并区分和整理数据,恢复成功率高,提高工作效率,恢复出来的数据呈现更直观。
【具体实施方式】
[0018] 为使本发明的目的、技术方案及优点更加清楚明白,以下举实施例,对本发明做进 一步详细说明。
[0019] -种360浏览器历史记录的恢复提取方法,包括下面步骤:
[0020] S 1 :获取存储3 6 0浏览器历史记录的数据库,其路径为:"C : \ U s e r s \ Administrator\AppData\Roaming\360se6\User Data\Default\History";
[0021] S2:查找数据库文件头确定数据库文件中页的大小。分析该数据库文件头,可以知 道8_1'代6页的大小为0x1000;
[0022] S3:从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大 小*(根页-1);
[0023] S4:本例中存放浏览器的历史记录的数据表为urls。从ur Is表的根页开始,依次遍 历所有urls表的页,判断页类型,若为表叶子页,则记录下该页页号;若为表内部页,则查找 该内部页的所有叶子页,记录该内部页的页号及所有叶子页的页号;
[0024] S5:所有属于urls表的页都遍历完成后,返回所有的页号,并使页号在逻辑上形成 B树;
[0025] S6:根据urls表的B树,依次取出页号,读取页内容;
[0026] S7:对于每个页,判断页类型,以该页中的管理字节(管理字节在页头部区域,用于 标记页中的数据位置)区分正常数据、删除数据、碎片数据;如果该页为内部页,由于不存放 数据,所以只做标记;
[0027]如果是叶子页,则对叶子页的单元进行解析,若单元含有溢出页则对溢出页中的 碎片数据进行标记;
[0028] 标记得到urls表所有页。
[0029] S8:将所有叶子页对应的底层数据进行结构划分,其结构划分与360数据库基本数 据特征一致;所述结构划分按一个表中每一条记录的大小和记录中每一个字段的大小进行 划分。
[0030] 360浏览器数据库的基本数据特征如下:
[0032] 获取信息较为核心的字段有:[url]:浏览器访问网址、[Title]:访问主题、[last_ visit_time]:访问时间。
[0033] S9:根据页中的分段提取底层数据,并结合对应的数据类型将数据转换为可视类 型;
[0034] S10:结合S7中的标记区分出S9提取数据中的删除的数据和碎片数据;
[0035] S11:根据数据状态(数据状态即为正常数据、删除的数据和碎片数据)、访问时间 和浏览器访问网址来对S10的删除的数据和碎片数据进行分类和排序;然后根据访问时间 的升序或降序将数据排序,并以数据状态、访问时间和URL地址的顺序进行组合。
[0036]本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发 明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领 域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其 它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
【主权项】
1. 一种360浏览器历史记录的恢复提取方法,包括下面步骤: S1:获取存储360浏览器历史记录的数据库; S2:查找数据库文件头确定数据库文件中页的大小; S3:从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大小* (根页-1); S4:找到存放360浏览器历史记录的数据表,从表的根页开始,依次遍历所有页,判断页 类型,若为叶子页,则记录下该页页号;若为内部页,则查找该内部页的所有叶子页,记录该 内部页的页号及所有叶子页的页号; S5:所有页都遍历完成后,返回所有的页号,并使页号在逻辑上形成B树; S6:根据B树,依次取出页号,读取页内容; S7:对于每个页,判断页类型,以该页中的管理字节区分正常数据、删除数据、碎片数据 并标记,标记所有页; S8:将所有叶子页对应的底层数据进行结构划分,其结构划分与360数据库基本数据特 征一致;所述结构划分按360数据库基本数据特征的一个表中每一条记录的大小和记录中 每一个字段的大小进行划分; S9:根据页中的分段提取底层数据,并结合对应的数据类型将数据转换为可视类型;S10:结合S7中的标记区分出S9提取数据中的删除的数据和碎片数据; S11:根据数据状态、访问时间和浏览器访问网址来对S10的提取的数据进行分类和排 序;然后根据访问时间的升序或降序分别将删除的数据和碎片数据排序,并以数据状态、访 问时间和URL地址的顺序进行组合。
【专利摘要】本发明公开了一种360浏览器历史记录的恢复提取方法,包括:获取数据库;确定页的大小;找到表的根页;找到数据表标记所有页;形成B树;读取页内容;区分页内正常数据、删除数据、碎片数据并标记;标记所有页;将叶子页对应的底层数据进行结构划分;对应的数据转换为可视类型;区分数据状态;对数据进行分类和排序。本发明的有益效果如下:可以找到360历史记录中的被删除数据和碎片数据,并区分和整理数据,恢复成功率高,提高工作效率,恢复出来的数据呈现更直观。
【IPC分类】G06F17/30, G06F11/14
【公开号】CN105488173
【申请号】CN201510861107
【发明人】梁效宁, 赵飞, 许超明
【申请人】四川效率源信息安全技术股份有限公司
【公开日】2016年4月13日
【申请日】2015年12月1日