基于存儲特征的火狐瀏覽器歷史記錄恢復技術研究.pdf

1、瀏覽器是必備的網絡應用工具，瀏覽器取證技術也自然成為數(shù)字取證領域當前研究的重點和熱點之一。其中關于瀏覽器歷史記錄的恢復技術尤為突出，特別是在目前瀏覽器種類繁多和版本不斷更新的現(xiàn)實情況下，基于結構解析或特定字符串匹配的恢復方法常常會失效，如何有效、快速和完整地恢復歷史記錄已經成為一個關鍵問題。本文針對火狐瀏覽器歷史記錄的恢復技術展開研究，主要工作如下：
　　首先，針對火狐瀏覽器歷史記錄存儲的數(shù)據(jù)庫系統(tǒng)進行了研究。詳細剖析了火狐瀏覽器

2、 SQLite數(shù)據(jù)庫存儲結構、存儲機制和日志文件格式，對瀏覽器主數(shù)據(jù)庫Places的數(shù)據(jù)表、表字段以及字段含義給出了詳細解釋，為恢復歷史記錄的研究做好技術準備。
　　其次，提出了一種基于預寫日志結構特征的歷史記錄恢復方法。該方法根據(jù)火狐瀏覽器的預寫日志數(shù)據(jù)塊之間隨機數(shù)的特殊性，采用數(shù)據(jù)塊拼接方法從磁盤的未分配空間中恢復出已刪除的預寫日志，然后從重構的日志文件中提取歷史記錄，分析用戶上網訪問的URL和次序，并根據(jù)數(shù)據(jù)塊存儲結構在邏輯

3、上的連續(xù)性推測訪問行為的時間區(qū)間等。評估實驗結果表明，方法在恢復記錄的準確率上達到了100％，召回率達到了73.65％，并能對記錄的發(fā)生時間進行有效地估計。
　　再次，提出了一種基于字節(jié)碼特征的歷史記錄恢復方法。該方法通過改進的Apriori算法來分析火狐瀏覽器歷史記錄字節(jié)碼樣本，首先提取出強關聯(lián)關系頻繁項集；然后根據(jù)頻繁項集標記記錄字節(jié)碼規(guī)律，得到記錄的字節(jié)碼特征；通過記錄字節(jié)碼特征準確定位記錄位置，最終達到恢復記錄的目的。評估

4、實驗結果表明，該方法不僅在恢復記錄的準確率上達到了96％，召回率達到了100％，而且方法具有普適性，不會因為記錄結構的改變而失效。
　　最后，實現(xiàn)了一個火狐瀏覽歷史記錄恢復演示系統(tǒng)。系統(tǒng)實現(xiàn)并集成了預寫日志重構、歷史記錄提取以及用戶行為分析等模塊，從實踐角度驗證了恢復方法的可行性。
　　本文通過研究火狐瀏覽器歷史記錄恢復技術，全面剖析了火狐瀏覽器的存儲機制，提出了基于預寫日志的記錄恢復方法和具有普適性的基于記錄特征挖掘的恢復