浏览器取证技术

计算机系统应用　ｈｔｔｐ：ｌｌｗｗｗ．Ｃ－Ｓ—ａ．ｏｒｇ．ｃｎ　２０１４年第２３卷第５期　浏览器取证技术①　陶姿邑　，毕善为　（陕西中医学院，西安７１２０４６）　（日立电梯（中国）陕西分公司，西安７１２０４６）　摘　要：随着信息时代的来临，一些不法分子在实施犯罪之前往往会上网查询信息，他们所用的浏览器便成了司法　机关取证的关键．能否提取有效的犯罪线索或证据，取决于浏览器取证方法的好坏，本文介绍了目前主流的火狐浏　览器、ＩＥ浏览器的取证技术，概述了ＩＥ缓存文件和基于ＳＱＬｉｔｅ数据库的火狐浏览器历史系统的日志文件结构，提　出了信息恢复方法．通过对己删除日志文件或缓存文件信息提取，来达到获取证据的目的，分析用户的行为．　关键词：浏览器取证；ＳＱＬｉｔｅ数据库；日志文件；信息提取　Ｏｖｅｒｖｉｅｗ　ｏｆ　Ｂｒｏｗｓｅｒ　Ｆｏｒｅｎｓｉｃｓ　Ｔｅｃｈｎｏｌｏｇｙ　ＴＡＯ　Ｚｉ—Ｙｉ　，ＢＩ　Ｓｈａｎ．Ｗｅｉ　（Ｓｈａｎｘｉ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆＣｈｉｎｅｓｅ　Ｍｅｄｉｃｉｎｅ，Ｘｉ’ａｎ　７１２０４６，Ｃｈｉｎａ）　（Ｈｉｔａｃｈｉ　Ｅｌｅｖａｔｏｒ（Ｃｈｉｎａ），Ｓｈａｎｘｉ　Ｂｒａｎｃｈ，Ｘｉ’ａｎ　７１２０４６，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｗｉｔｈ　ｔｈｅ　ａｄｖｅｎｔ　ｏｆ　ｔｈｅ　ｉｎｆｏｒｍａｔｉｏｎ　ａｇｅ，ｓｏｍｅ　ｃｒｉｍｉｎａｌｓ　ａｌｗａｙｓ　ｔｅｎｄ　ｔｏ　ｑｕｅｒｙ　ｉｎｆｏｒｍａｔｉｏｎ　ｆｒｏｍ　ｔｈｅ　Ｉｎｔｅｍｅｔ　ｂｅｆｏｒｅ　ｔｈｅｙ　ｅｎｇａｇｅｄ　ｉｎ　ｃｒｉｍｉｎａｌ　ａｃｔｉｖｉｔｙ　Ｓｏ　ｔｈｅ　ｂｒｏｗｓｅｒ　ｔｈｅｙ　ｕｓｅｄ　ｈａｓ　ｂｅｃｏｍｅ　ｔｈｅ　ｋｅｙ　ｔｏ　ｔｈｅ　ｆｏｒｅｎｓｉｃｓ　ｏｆ　ｊｕｄｉｃｉａｌ　ａｕｔｈｏｒｉｔｉｅｓ．Ｗｈｅｔｈｅｒ　ｗｅ　ｃａｎ　ｅｘｔｒａｃｔ　ｔｈｅ　ｅｆｆｅｃｔｉｖｅ　ｅｖｉｄｅｎｃｅ　ｏｆ　ｃｒｉｍｅ　ｄｅｐｅｎｄｓ　ｏｎ　ｔｈｅ　ｆｏｒｅｎｓｉｃｓ　ｍｅｔｈｏｄ　ｏｆ　ｂｒｏｗｓｅｒ．Ｔｈｉｓ　ａｒｔｉｃｌｅ　ｉｎｔｒｏｄｕｃｅｓ　ｔｈｅ　ｆｏｒｅｎｓｉｃｓ　ｔｅｃｈｎｏｌｏｇｙ　ｏｆ　Ｆｉｒｅｆｏｘ　ａｎｄ　ＩＥ　ｂｒｏｗｓｅｒ　ｗｈｉｃｈ　ａｒｅ　ｔｈｅ　ｃｕｒｒｅｎｔ　ｍａｉｎｓｔｒｅａｍ　ｂｒｏｗｓｅｒｓ，　ｏｕｔｌｉｎｅｄ　ｔｈｅ　ｂｒｏｗｓｅｒ　ｔｅｍｐｏｒａｒｙ　ｆｉｌｅ　ｓｔｒｕｃｔｕｒｅ，ｓｕｃｈ　ａｓ　ｔｈｅ　ＩＥ　ｃａｃｈｅ　ｆｉｌｅ　ａｎｄ　ｔｈｅ　ＳＱＬｉｔｅ　ｄａｔａｂａｓｅ　ｌｏｇ　ｆｉｌｅｓ　ｏｆ　ｔｈｅ　Ｆｉｒｅｆｏｘ，　ｐｒｏｐｏｓｅｄ　ｉｎｆｏｒｍａｔｉｏｎ　ｒｅｃｏｖｅｒｙ　ｍｅｔｈｏｄ．Ｉｔ　ｃａｎ　ｃｏｌｌｅｃｔ　ｅｖｉｄｅｎｃｅ　ａｎｄ　ａｎａｌｙｚｅ　ｔｈｅ　ｕｓｅｒ’Ｓ　ｂｅｈａｖｉｏｒ　ｂｙ　ｅｘｔｒａｃｔ　ｔｈｅ　ｉｎｆｏｒｍａｔｉｏｎ　ｏｆ　ｔｈｅ　ｄｅｌｅｔｅｄ　ｌｏｇ　ｆｉｌｅｓ　ｏｒ　ｃａｃｈｅ　ｆｉｌｅｓ．　Ｋｅｙ　ｗｏｒｄｓ：ｂｒｏｗｓｅｒ　ｆｏｒｅｎｓｉｃ；ＳＱＬｉｔｅ　ｄａｔａｂａｓｅ；ｌｏｇ　ｉｆｌｅ；ｉｎｆｏｒｍａｔｉｏｎ　ｅｘｔｒａｃｔｉｏｎ　１　引言　２相关工作　随着信息技术和网络的不断发展，利用互联网来　目前大多数的浏览器取证研究主要针对于特定的　杏询犯罪信息或以网络计算机为目标的犯罪动越来越　浏览器或是分析日志文件的结构，Ｊｏｎｅｓ等人解读了ＩＥ　多，对人民的合法权益造成了破坏．如何最大限度地　浏览器缓存ｉｎｄｅｘ．ｄａｔ文件的结构以及研究从ＩＥ浏览器　获取网络犯罪相关的历史信息证据，如何恢复犯罪分　中获取已删除记录，同时他还开发出Ｐａｓｃｏ工具来自　子已经删除的历史信息提取相关证据，将犯罪分子绳　动解析ｉｎｄｅｘ．ｄａｔ文件．Ｐｅｒｅｉｒａｌ详细介绍了火狐浏览器　之以法，已成为取证工作者和计算机科学领域中急需　从第二版升级为第三版后它的历史存储系统的变化，　解决的问题．浏览器取证是打击计算机犯罪的有力工　并且提出了一种改进的方法在磁盘未分配区域来搜索　具及手段，为了提高打击计算机犯罪的能力，需要对浏　已删除记录数据，针对的是火狐浏览器利用的ＳＱＬｉｔｅ　览器取证领域进行深入的研究，不但需要开发切实有　数据库产生的临时回滚日志文件，通过对已删除回滚　效的取证方法，也需要对浏览器取证领域的取证定义、　日志文件的提取，能够有效地恢复出取证研究者感兴　取证标准、取证程序等进行研究．　趣的信息数据．　①收稿时间：２０１３．０５—２７；收到修改稿时间：２０１３．０６—２０　８专论‘综述Ｓｐｅｃｉａｌ　Ｉｓｓｕｅ