基于存儲(chǔ)特征的火狐瀏覽器歷史記錄恢復(fù)技術(shù)研究.pdf

1、瀏覽器是必備的網(wǎng)絡(luò)應(yīng)用工具，瀏覽器取證技術(shù)也自然成為數(shù)字取證領(lǐng)域當(dāng)前研究的重點(diǎn)和熱點(diǎn)之一。其中關(guān)于瀏覽器歷史記錄的恢復(fù)技術(shù)尤為突出，特別是在目前瀏覽器種類繁多和版本不斷更新的現(xiàn)實(shí)情況下，基于結(jié)構(gòu)解析或特定字符串匹配的恢復(fù)方法常常會(huì)失效，如何有效、快速和完整地恢復(fù)歷史記錄已經(jīng)成為一個(gè)關(guān)鍵問題。本文針對(duì)火狐瀏覽器歷史記錄的恢復(fù)技術(shù)展開研究，主要工作如下：
　　首先，針對(duì)火狐瀏覽器歷史記錄存儲(chǔ)的數(shù)據(jù)庫系統(tǒng)進(jìn)行了研究。詳細(xì)剖析了火狐瀏覽器

2、 SQLite數(shù)據(jù)庫存儲(chǔ)結(jié)構(gòu)、存儲(chǔ)機(jī)制和日志文件格式，對(duì)瀏覽器主數(shù)據(jù)庫Places的數(shù)據(jù)表、表字段以及字段含義給出了詳細(xì)解釋，為恢復(fù)歷史記錄的研究做好技術(shù)準(zhǔn)備。
　　其次，提出了一種基于預(yù)寫日志結(jié)構(gòu)特征的歷史記錄恢復(fù)方法。該方法根據(jù)火狐瀏覽器的預(yù)寫日志數(shù)據(jù)塊之間隨機(jī)數(shù)的特殊性，采用數(shù)據(jù)塊拼接方法從磁盤的未分配空間中恢復(fù)出已刪除的預(yù)寫日志，然后從重構(gòu)的日志文件中提取歷史記錄，分析用戶上網(wǎng)訪問的URL和次序，并根據(jù)數(shù)據(jù)塊存儲(chǔ)結(jié)構(gòu)在邏輯

3、上的連續(xù)性推測(cè)訪問行為的時(shí)間區(qū)間等。評(píng)估實(shí)驗(yàn)結(jié)果表明，方法在恢復(fù)記錄的準(zhǔn)確率上達(dá)到了100％，召回率達(dá)到了73.65％，并能對(duì)記錄的發(fā)生時(shí)間進(jìn)行有效地估計(jì)。
　　再次，提出了一種基于字節(jié)碼特征的歷史記錄恢復(fù)方法。該方法通過改進(jìn)的Apriori算法來分析火狐瀏覽器歷史記錄字節(jié)碼樣本，首先提取出強(qiáng)關(guān)聯(lián)關(guān)系頻繁項(xiàng)集；然后根據(jù)頻繁項(xiàng)集標(biāo)記記錄字節(jié)碼規(guī)律，得到記錄的字節(jié)碼特征；通過記錄字節(jié)碼特征準(zhǔn)確定位記錄位置，最終達(dá)到恢復(fù)記錄的目的。評(píng)估

4、實(shí)驗(yàn)結(jié)果表明，該方法不僅在恢復(fù)記錄的準(zhǔn)確率上達(dá)到了96％，召回率達(dá)到了100％，而且方法具有普適性，不會(huì)因?yàn)橛涗浗Y(jié)構(gòu)的改變而失效。
　　最后，實(shí)現(xiàn)了一個(gè)火狐瀏覽歷史記錄恢復(fù)演示系統(tǒng)。系統(tǒng)實(shí)現(xiàn)并集成了預(yù)寫日志重構(gòu)、歷史記錄提取以及用戶行為分析等模塊，從實(shí)踐角度驗(yàn)證了恢復(fù)方法的可行性。
　　本文通過研究火狐瀏覽器歷史記錄恢復(fù)技術(shù)，全面剖析了火狐瀏覽器的存儲(chǔ)機(jī)制，提出了基于預(yù)寫日志的記錄恢復(fù)方法和具有普適性的基于記錄特征挖掘的恢復(fù)