基于存储特征的火狐浏览器历史记录恢复技术研究

摘要

浏览器是必备的网络应用工具，浏览器取证技术也自然成为数字取证领域当前研究的重点和热点之一。其中关于浏览器历史记录的恢复技术尤为突出，特别是在目前浏览器种类繁多和版本不断更新的现实情况下，基于结构解析或特定字符串匹配的恢复方法常常会失效，如何有效、快速和完整地恢复历史记录已经成为一个关键问题。本文针对火狐浏览器历史记录的恢复技术展开研究，主要工作如下：
　　首先，针对火狐浏览器历史记录存储的数据库系统进行了研究。详细剖析了火狐浏览器 SQLite数据库存储结构、存储机制和日志文件格式，对浏览器主数据库Places的数据表、表字段以及字段含义给出了详细解释，为恢复历史记录的研究做好技术准备。
　　其次，提出了一种基于预写日志结构特征的历史记录恢复方法。该方法根据火狐浏览器的预写日志数据块之间随机数的特殊性，采用数据块拼接方法从磁盘的未分配空间中恢复出已删除的预写日志，然后从重构的日志文件中提取历史记录，分析用户上网访问的URL和次序，并根据数据块存储结构在逻辑上的连续性推测访问行为的时间区间等。评估实验结果表明，方法在恢复记录的准确率上达到了100％，召回率达到了73.65％，并能对记录的发生时间进行有效地估计。
　　再次，提出了一种基于字节码特征的历史记录恢复方法。该方法通过改进的Apriori算法来分析火狐浏览器历史记录字节码样本，首先提取出强关联关系频繁项集；然后根据频繁项集标记记录字节码规律，得到记录的字节码特征；通过记录字节码特征准确定位记录位置，最终达到恢复记录的目的。评估实验结果表明，该方法不仅在恢复记录的准确率上达到了96％，召回率达到了100％，而且方法具有普适性，不会因为记录结构的改变而失效。
　　最后，实现了一个火狐浏览历史记录恢复演示系统。系统实现并集成了预写日志重构、历史记录提取以及用户行为分析等模块，从实践角度验证了恢复方法的可行性。
　　本文通过研究火狐浏览器历史记录恢复技术，全面剖析了火狐浏览器的存储机制，提出了基于预写日志的记录恢复方法和具有普适性的基于记录特征挖掘的恢复方法，采用理论与实践相结合的方式，对浏览器取证技术进行了有益的探索。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究背景与意义

1.2 国内外研究现状

1.3 存在的问题

1.4 本文研究内容

1.5 本文组织结构

第二章 火狐浏览器的数据库系统概述

2.1 SQLite数据库

2.2 火狐浏览器Places数据库

2.3 本章小结

第三章 一种基于预写日志结构特征的历史记录恢复方法

3.1 引言

3.2 预写日志结构特征分析

3.3 依据预写日志结构特征的恢复方法

3.4 用户行为分析

3.5 实验设计

3.6 实验结果与分析

3.7 本章小结

第四章 一种基于记录字节码特征的历史记录恢复方法

4.1 引言

4.2 Apriori算法的基本原理

4.3 挖掘记录字节码特征的恢复方法

4.4 实验设计

4.5 实验结果与分析

4.6 本章小结

第五章 火狐浏览器历史记录恢复系统实现

5.1 引言

5.2 系统模块介绍

5.3 系统详细设计

5.4 系统展示

5.5 本章小结

第六章 总结与展望

6.1 研究工作总结

6.2 未来工作展望

致谢

参考文献

附录