[发明专利]一种Web浏览器缓存数据的取证方法

说明书

技术领域

本发明属于信息安全与计算机应用技术领域，涉及一种Web浏览器数据的取证方法，特别是一种对个人计算机中Web浏览器相关数据的证据分析和提取方法。本发明能面向计算机勘查、取证工作的需要，对个人计算机中Web浏览器数据进行分析、搜索，寻找犯罪证据。

背景技术

计算机犯罪与计算机技术密切相关。随着计算机技术的飞速发展，计算机在社会中应用领域的急剧扩大，计算机犯罪的类型和领域不断地增加和扩展，从而使“计算机犯罪”这一术语随着时间的推移而不断获得新的涵义。一般来说计算机犯罪的概念可以有广义和狭义之分：广义的计算机犯罪是指行为人故意直接对计算机实施侵入或破坏，或者利用计算机实施有关金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其它犯罪行为的总称；狭义的计算机犯罪仅指行为人违反国家规定，故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏、制作、传播计算机病毒，影响计算机系统正常运行且造成严重后果的行为。计算机犯罪活动给国家安全和社会稳定造成了极大的威胁。面对日益严峻的计算机安全形势，计算机取证与分析手段显得尤为重要。

随着网络的普及，人们的网络行为日趋频繁。据第22次中国互联网络发展状况统计报告显示，截至2008年6月底，我国网民数量达到了2.53亿，首次大幅度超过美国，跃居世界第一位。中国网站数量也持续增长，共有191.9万个。正当网络化大潮推进全球信息化的同时，接踵而来的计算机与网络犯罪，如传播邪教、淫秽物品、非法经营、诈骗、破坏计算机信息系统等，对社会安定和人民生活构成了严重的威胁。近年来，在计算机取证勘察过程中，与web浏览器(网页浏览器)相关的IE历史记录、IE收藏夹、Web缓存文件等能反映用户兴趣特征的证据信息越来越引起取证专家的关注。因此，找到一种可以从这些浏览器相关数据中发现重要的证据线索的技术手段就十分有意义。

目前针对计算机证据的提取技术主要有以下几种：

(1)对计算机系统和文件的安全获取技术，避免对原始介质进行任何破坏和干扰；比如专利“一种分析和提取数字证据的取证分析系统和方法”(专利号：10011634.8)，该发明的重点在于它可以在不对证据造成任何破坏的情况识别、搜集和分析数字证据，并通过哈希签名等手段保证所搜集和分析的数字证据的可靠性和可信性。它对于提取具体的证据信息(如Email数据、浏览器数据)，则未明显涉及。

(2)对磁盘或其它存储介质的安全备份技术；比如专利“一种利用无线终端和服务器获取证据的方法”(专利号：10024479.2)，该发明所述方法的特征在于，设有专用服务器，无线终端与之通讯；无线终端获取电子数据和其他相关信息并集成在一起，并即时发往服务器，由服务器记录并保存终端发送来的电子数据和其他信息。专利侧重介绍的是如何从现场收集到的大量证据信息中提取所需的具体证据。

(3)计算机在某一特定时间段内的实时数据搜集技术；比如专利“基于计算机取证的数字证据完整性保存方法”(专利号：10013610.0)，该发明所述的方法是在主机系统运行期间，实时记录主机产生的可能与入侵相关的每一条关键信息即取证信息，并采取一致性算法对这些信息记录进行保护。而本专利主要针对的取证对象是静态的Web浏览器数据。

其他计算机证据的获取技术还包括对已删除文件的恢复、重建技术；对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；对交换文件、缓存文件、临时文件中包含的信息的复原技术等。

计算机取证过程还涉及到证据分析技术。在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前主要的证据分析技术，专利CN1445665A介绍的是一种常用应用软件默认数据及缓冲数据勘查取证方法。该发明是在分析了多种应用软件的默认数据及缓冲数据、临时文件的定位基础上作出的。它所述的方法着重介绍了对Word文件、ASCII编码文件和Unicode编码文件的勘察、搜索过程，检索这些文件中是否存在敏感信息串、敏感信息模式等，并把勘察结果全部保存入数据库。该发明的主要不足在于，由于应用程序数据及缓冲数据较多，如果搜索结果未经筛选或排序就提供用户浏览，会迫使用户需要花费大量的时间来分析搜索结果。

目前，在文本搜索领域有不少关于文件相似性搜索的技术发明。专利CN1963807A提出了一种相似文件的自动侦测方法。该方法用以自多个测试文件中侦测出一待对比文件具有相似内容或相似主题的多个相似文件。本专利所述方法主要涉及基于敏感关键词的相关性排序。