基于存储特征的火狐浏览器历史记录恢复技术研究

发布时间：2017-04-15 02:20

  本文关键词：基于存储特征的火狐浏览器历史记录恢复技术研究，由笔耕文化传播整理发布。

【摘要】：浏览器是必备的网络应用工具，浏览器取证技术也自然成为数字取证领域当前研究的重点和热点之一。其中关于浏览器历史记录的恢复技术尤为突出，特别是在目前浏览器种类繁多和版本不断更新的现实情况下，基于结构解析或特定字符串匹配的恢复方法常常会失效，如何有效、快速和完整地恢复历史记录已经成为一个关键问题。本文针对火狐浏览器历史记录的恢复技术展开研究，主要工作如下： 首先，针对火狐浏览器历史记录存储的数据库系统进行了研究。详细剖析了火狐浏览器SQLite数据库存储结构、存储机制和日志文件格式，对浏览器主数据库Places的数据表、表字段以及字段含义给出了详细解释，为恢复历史记录的研究做好技术准备。 其次，提出了一种基于预写日志结构特征的历史记录恢复方法。该方法根据火狐浏览器的预写日志数据块之间随机数的特殊性，采用数据块拼接方法从磁盘的未分配空间中恢复出已删除的预写日志，然后从重构的日志文件中提取历史记录，分析用户上网访问的URL和次序，并根据数据块存储结构在逻辑上的连续性推测访问行为的时间区间等。评估实验结果表明，方法在恢复记录的准确率上达到了100%，召回率达到了73.65%，并能对记录的发生时间进行有效地估计。 再次，提出了一种基于字节码特征的历史记录恢复方法。该方法通过改进的Apriori算法来分析火狐浏览器历史记录字节码样本，首先提取出强关联关系频繁项集；然后根据频繁项集标记记录字节码规律，，得到记录的字节码特征；通过记录字节码特征准确定位记录位置，最终达到恢复记录的目的。评估实验结果表明，该方法不仅在恢复记录的准确率上达到了96%，召回率达到了100%，而且方法具有普适性，不会因为记录结构的改变而失效。 最后，实现了一个火狐浏览历史记录恢复演示系统。系统实现并集成了预写日志重构、历史记录提取以及用户行为分析等模块，从实践角度验证了恢复方法的可行性。 本文通过研究火狐浏览器历史记录恢复技术，全面剖析了火狐浏览器的存储机制，提出了基于预写日志的记录恢复方法和具有普适性的基于记录特征挖掘的恢复方法，采用理论与实践相结合的方式，对浏览器取证技术进行了有益的探索。
【关键词】：火狐浏览器 预写日志 Apriori 特征 记录恢复
【学位授予单位】：杭州电子科技大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.092
【目录】：

• 摘要5-6
• ABSTRACT6-11
• 第一章 绪论11-19
• 1.1 研究背景与意义11-13
• 1.2 国内外研究现状13-15
• 1.3 存在的问题15-16
• 1.4 本文研究内容16
• 1.5 本文组织结构16-19
• 第二章 火狐浏览器的数据库系统概述19-29
• 2.1 SQLITE 数据库19-24
• 2.1.1 数据库简介19-20
• 2.1.2 数据库应用20-21
• 2.1.3 数据库文件21-23
• 2.1.4 数据库日志文件23-24
• 2.2 火狐浏览器 PLACES 数据库24-28
• 2.2.1 SQLITE_MASTER 表25
• 2.2.2 MOZ_PLACES 表25-26
• 2.2.3 MOZ_HISTORYVISITS 表26-27
• 2.2.4 MOZ_BOOKMARKS 表27-28
• 2.2.5 MOZ_INPUTHISTORY 表28
• 2.3 本章小结28-29
• 第三章 一种基于预写日志结构特征的历史记录恢复方法29-49
• 3.1 引言29-31
• 3.1.1 传统方法的局限30
• 3.1.2 方法的提出30-31
• 3.2 预写日志结构特征分析31-37
• 3.2.1 日志结构31-35
• 3.2.2 日志工作机制35-36
• 3.2.3 日志随机数特征36-37
• 3.3 依据预写日志结构特征的恢复方法37-41
• 3.3.1 方法总体框架37
• 3.3.2 镜像获取方式37-38
• 3.3.3 重构预写日志文件38-40
• 3.3.4 数据块及记录提取40-41
• 3.4 用户行为分析41-42
• 3.4.1 用户行为定义41
• 3.4.2 用户操作时序41
• 3.4.3 记录时间戳估计41-42
• 3.5 实验设计42-44
• 3.5.1 实验环境搭建42-43
• 3.5.2 恢复实验设计43
• 3.5.3 对比实验设计43
• 3.5.4 用户行为实验设计43-44
• 3.6 实验结果与分析44-47
• 3.7 本章小结47-49
• 第四章 一种基于记录字节码特征的历史记录恢复方法49-67
• 4.1 引言49-50
• 4.2 APRIORI 算法的基本原理50-55
• 4.2.1 方法简介50
• 4.2.2 最大频繁项集合挖掘50-54
• 4.2.3 关联关系挖掘54-55
• 4.3 挖掘记录字节码特征的恢复方法55-59
• 4.3.1 恢复方法框架55-56
• 4.3.2 记录样本采集56
• 4.3.3 记录特征挖掘56-58
• 4.3.4 记录提取58-59
• 4.4 实验设计59-61
• 4.4.1 恢复实验设计59-61
• 4.4.2 对比实验设计61
• 4.5 实验结果与分析61-66
• 4.6 本章小结66-67
• 第五章 火狐浏览器历史记录恢复系统实现67-77
• 5.1 引言67-68
• 5.2 系统模块介绍68-69
• 5.2.1 预写日志重构模块68
• 5.2.2 历史记录提取模块68-69
• 5.2.3 用户行为分析模块69
• 5.3 系统详细设计69-72
• 5.3.1 系统环境搭建70
• 5.3.2 系统总框架70-71
• 5.3.3 日志重构模块详细设计71
• 5.3.4 记录提取模块详细设计71-72
• 5.3.5 用户行为模块详细设计72
• 5.4 系统展示72-75
• 5.5 本章小结75-77
• 第六章 总结与展望77-79
• 6.1 研究工作总结77
• 6.2 未来工作展望77-79
• 致谢79-81
• 参考文献81-87
• 附录87-88
• 详细摘要88-90

【参考文献】

中国期刊全文数据库 前2条

1 赵经纬;周余;王自强;都思丹;;基于Webkit的嵌入式浏览器的研究与实现[J];电子测量技术;2009年03期

2 李豪俊;陈龙;田庆宜;;浏览器隐私模式下进程内存数据快速获取方法[J];计算机应用;2012年S1期

  本文关键词：基于存储特征的火狐浏览器历史记录恢复技术研究，由笔耕文化传播整理发布。

本文编号：307404