电子数据取证系统

浅谈大数据下的电子数据取证摘要；电子数据是指在计算机应用、通信、现代管理技术和其他电子技术手段的基础上形成的客观信息，包括文字、图形符号、数字、字母等。

随着计算机和网络技术的普及，基于网络的电子商务活动和许多其他人际关系大量涌现。

电子文件已成为传递信息和记录事实的重要载体。

在这些领域，一旦发生纠纷或事件，相关电子文件将成为重要证据。

收集电子数据证据。

这是一个法庭认可的过程，完全可靠、有说服力，并在法庭上确定、收集、保护、分析、存储和呈现计算机和相关外围设备中的电子数据。

因为计算机和网络技术在过去20年里发展迅速。

可以说，电子数据采集构成了一个新的科学和司法领域。

关键词；电子数据；电子取证；检察；取证方法前言大数据正在改变我们的生活和思维方式。

大数据的基本方法是数据挖掘，其主要价值在于预测。

在大数据时代，出现了新的电子证据收集方法，大数据挖掘技术也为电子证据的发现提供了新的思路。

在大数据时代，最需要的不仅仅是通过大数据处理技术努力使电子证据收集发挥更大的作用，更要关注大数据的基本价值对电子证据的影响，及时完善电子证据收集的权利和义务，建立当事人公平获取证据的制度。

1.大数据时代背景当你访问搜索网站时，有些搜索引擎公司会记录下搜索习惯，并根据这些信息自动为你推荐广告。

在电商网站购物时，一些电商公司会根据你的购物偏好，自动推荐相关产品；开车出发时，电子导航系统会自动定位并指示方向。

这些功能有助于计算机存储、分析和处理海量数据。

现在，大数据可以用来实现远程无法想象的梦想。

21世纪是数据信息大发展的时代，移动互联网、社交网络、电子商务等大大拓展了互联网的边界和应用范围。

同时，物联网、车联网、GPS、医学影像、安全监控、金融、电信都在疯狂地产生数据，各种数据迅速膨胀、壮大。

大数据引发了生活、工作和思维的变革。

2电子数据取证的概述2.1电子数据取证的涵义按照现行通用的学理上的分析，电子数据取证的含义可以表述为：“对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保存、提取和归档的过程，这一概念的表述将电子数据取证的范围不仅涵盖对计算机及配套设备的取证，也包括了对其他信息设备进行取证。

美亚柏科财务建模国内电子数据取证龙头今天我们要研究的这个赛道，之前曾因意外事件，备受打击。

自今年2月以来，其持续下杀，从峰值高位25.26元，一路跌至峰值低位17.53元，下跌幅度达到30%。

图：走势图来源：东方财富Choice数据然而，如果我们反观海外类似赛道的龙头，近日刚刚提交上市申请的独角兽Palantir，其主要为政商两界提供大数据分析软件。

在2015年，这家公司估值就已经达到200亿美元（折合人民币1368亿元）。

而本次上市，有部分媒体报道称其估值高达400亿美元（也有称260亿美元）。

而作为和Palantir类似赛道的国内龙头，本案如今的估值却仅为171亿元。

它，就是美亚柏科，国内电子数据取证龙头，几乎占据国内电子数据取证市场的半壁江山。

这个赛道下游多为to G，因而，我们将其归类为“新基建”系列研究中。

根据2019年数据，其营业收入为20.67亿元，同比增长29.11%；净利润为2.89亿元，同比下降4.3%；经营活动现金流为3.96亿元，毛利率为55.74%，净利率为13.96%。

从机构持仓上来看，2020年中报，本案的机构持仓者包括交银施罗德基金、泓德基金、高毅资本等。

研究到这里，有几个值得我们仔细思考的问题：1）电子数据取证行业的增长驱动力是什么？未来的前景如何？大数据智能化平台业务未来的发展空间究竟有多大？2）该行业的竞争格局怎样？护城河到底在哪里？—01 —███████龙头，模式▼美亚柏科，成立于1999年9月，2011年在深交所创业板挂牌上市。

大股东为郭永芳，国投智能持股15.58%，具有22.32%的表决权，为其控股股东，实际控制人为国资委。

图：股权结构来源：wind从2020年上半年机构持仓情况来看，交银施罗德基金、泓德基金、中欧基金等大型机构均有持仓。

2017年至2020年半年报，其营业收入分别为13.37亿元、16.01亿元、20.67亿元、6.12亿元；净利润分别为2.62亿元、3.02亿元、2.89亿元、-0.01亿元；经营活动现金流净额分别为2.00亿元、0.72亿元、3.96亿元、-4.59亿元；毛利率分别为64.18%、59.49%、55.74%、53.48%；净利率分别为19.62%、18.87%、13.96%、-0.15%。

1860 引言在大数据时代下，电子数据取证对象发生了巨大变化，从以往的独立物理实体拓展至IoT、虚拟主机以及云端应用等，这使得电子数据取证面临更大困难和挑战。

所以，有必要对以大数据架构为基础的电子数据取证技术展开深入研究。

在实际研究中，首先要充分掌握电子数据取证的内涵及发展历程，确定以大数据为基础的电子数据取证框架，了解新时期电子数据取证所面临的困境与挑战，在此基础上积极应用新技术支持电子数据取证工作，保证取证具有更高的安全性与准确性。

1 电子数据取证技术的概述电子数据取证主要指的是通过计算机软件以及硬件技术，在和法律规范相符的基础上，对网络相关犯罪行为包括网络攻击、计算机入侵、欺诈以及破坏等进行取证、分析、保存以及出示的过程[1]。

通过应用计算机实施犯罪的一些案件，往往犯罪嫌疑人会将计算机当中的犯罪证据毁灭，在此情况下，就可通过数据软件恢复所丢失或是删除的信息，而对所删除或者所丢失数据进行获取的全过程即为电子数据取证过程，涉及勘查现场、数据分析、数据追踪以及结果提交等方面。

而电子数据取证技术，主要是专业人员严格依据法律要求，根据法定程序，通过多种技术对电子设备当中涉及的电子证据进行取证，所用取证技术主要包含数字时间、数据库、密码破译、网络电子、移动终端以及浏览器等。

此外，取证期间可能还会用到一些计算机取证软件，像Encase、TCT 等。

只要是运用计算机实施的犯罪行为，势必会在互联网以及计算机当中留下一定痕迹，研究应用电子数据取证技术，主要目的就是对犯罪者在计算机当中所留下的痕迹信息进行精准辨别，同步加以提取，通过信息取证揭露犯罪者的犯罪事实。

电子数据取证产生于20世纪70年代，目前已经历了4个阶段，分别是1985年至1995年的婴儿期、1995年至2005年的儿童期、2005年至2010年的青春期以及2010年至今的新时期。

在婴儿期，新出现的网络和刚刚普及的个人电脑引发了一系列计算机犯罪，此阶段取证人员尚不具备系统化、专业化的取证工具，大部分是基于经验，利用自行开发的取证工具完成取证任务。

电子证据存在性取证流程总结一、针对案件及取证思路电子证据存在性取证主要针对的案件类型有：泄露国家机密案、组织他人偷越国边境案、传播淫秽物品案、伪造国家机关公文印章证件案等。

电子数据取证与鉴定的一般思路是经过资格认定的专业人员基于计算机科学原理和技术，接受当事人的委托，按照法律规定的程序，发现、固定、提取、分析、检验、记录和展示电子设备中存储的电子数据，找出与案件事实之间的客观联系，确定其证明力并提供鉴定意见。

主要可以分析各种日志历史、历史记录、缓存、缩略图、杀毒软件日志、文件结构特征、文件签名等。

二、电子证据存在性取证案例分析1案情概述：绑架杀人抛尸案后进行了录像，录像删除未恢复，且相机电池没电不能启动无数据线。

2取证准备：首先应当了解文件丢失原因，检查硬件有无损坏。

之后检查文件的存储格式、录制和存储文件所使用的文件系统、存储位置、创建和修改时间等。

对于该案件，由于案发到抓获时间较短，文件存储卡中有大量未使用的空闲空间，所以应该认定文件只是被删除而没有被覆盖（可能性较小）通过进一步分析FAT表发现文件分配表中只有当前尚未删除的照片和视频的数据分配，其余字节均为00.综合考虑没有被覆盖且硬件美欧损坏的情况下，要利用数据恢复软件进行数据恢复。

为了得到更加准确的数据还原结果，加之不同数据恢复软件各有特点，所以要要用easyrecovery/finaldata/r-stidio/winhex等不同软件分别操作分别恢复，再进行数据比对。

还原后发现了三个被删除的视频，但使用各种软件均无法正常播放，因此考虑手工恢复。

手工恢复顺序：文件签名、文件存储规律、文件结构特征。

3根据文件签名恢复：检索并匹配文件签名，发现了可能的视频文件头。

对选取到的文件数据块顺序提取后发现仍然不能播放。

4根据文件存储规律恢复：插入新卡，找到数据块所在位置，按规律拼接保存成为视频文件，检查分析文件是否正确。

由于不知道最后一个视频文件的结束位置，还要根据文件结构特征恢复文件。

浅谈建设网络IT取证系统【摘要】随着计算机网络技术的发展和运用，人们的生活效率提高的同时，利用信息技术进行犯罪的活动也日益增多，因此利用it取证技术提供有效可靠的电子证据给一些法律诉讼案件是非常必要的。

【关键词】网络；it取证；系统构建一、it取证技术概述it取证技术一般是指对计算机或者其他网络设备中存储的电子数据证据进行一系列的收集、识别、检查、保护和分析工作并最终在法律诉讼中进行出示的技术。

it取证技术是法律诉讼环节中的重要组成部分，法庭根据it取证技术采集到的电子证据进行犯罪后果的衡量并量刑定罪，这个过程不仅与计算机学科相联系，而且需要满足相关的法律要求，因此在取证过程中需要遵循一定的原则和标准来开展。

首先是合法性原则，即it取证工作的基本要求是符合法律规范，如此才能在证明相关犯罪活动时是有效的，这包括了专业人士见证过程和保护证据的连续性这两方面的合法性；其次是实时性原则，即在取证时要实时快速，这样才能保证有关的证据不会被修改或毁灭；接着是多备份原则，应该对证据进行两个或者以上的备份保存，以防止数据的流失；另外是环境原则，即对计算机相关证据的存储介质或者媒体进行安全标准的规范；最后是全面性原则，要求整个it过程中最好不要丢失任何有参考价值的信息，要尽可能多的收集比较全面的信息内容。

it取证技术的对象是电子数据，电子数据证据具有易损坏性、易改性、隐蔽性和存储方式多样性等特点，其在计算机内的存储方式分为易流失的证据和相对较稳定的证据，前者在计算机重新启动或者关机后可能不复存在，后者指临时文件、隐藏文件、普通文件、注册表文件等比较稳定的证据。

it取证工作必须按照规定好的流程进行，才能保证工作的高效性。

it取证工作第一步是对相关犯罪现场进行查看以进行证据的获取；第二步是数据的传输，传输过程要具有保密性，防止数据遭受非法入侵或获取；第三步是证据的保存，可以使用光盘、硬盘或磁带进行数据的备份；第四步是证据的识别，即从众多的数据中识别出可以反映犯罪行为和活动的电子数据；最后一步是数据的分析，即将收集到的数据、备份和程序通过现场重建手段分析它们之间的关联，最后提交给法庭作为诉讼的证据。

电子取证— 360浏览‎器历史记录‎数据恢复提‎取方法编者按：本期，数据恢复四‎川省重点实‎验室科研人‎员将介绍3‎60浏览器‎历史浏览记‎录数据恢复‎提取方法。

其中，针对XP系‎统下的二进‎制d at文‎件解析方法‎在市场上属‎于首创，可助力一线‎取证人员对‎360浏览‎器历史记录‎文件进行快‎速解析和提‎取，为电子取证‎和案件侦破‎提供关键线‎索。

一、背景介绍近年来,利用计算机‎进行网络犯‎罪呈高增长‎态势,浏览器历史‎痕迹成为计‎算机取证的‎重点。

由于某些浏‎览器保存记‎录方法是自‎己特定的格‎式，市面上很少‎有工具或者‎方法针对这‎种文件解析‎，所以这种浏‎览器历史痕‎迹被删除后‎，如果没有解‎析方法，整个痕迹提‎取环节就陷‎入僵局。

目前，市面上主要‎浏览器有微‎软I E、谷歌Chr‎o me、奇虎360‎浏览器、搜狗浏览器‎、百度浏览器‎等。

其中，360浏览‎器作为主流‎浏览器之一‎，占有较高市‎场份额，而它的浏览‎器保存记录‎方法就属于‎特定格式。

因此，研究360‎浏览器的历‎史痕迹提取‎方法并形成‎有效的电子‎证据，对计算机取‎证有重要意‎义。

图1：2015年‎8月浏览器‎市场占有率‎统计二、技术方案1.确定360‎浏览器历史‎痕迹文件位‎置360浏览‎器历史记录‎文件在不同‎操作系统中‎存储位置也‎不一样，根据目前分‎析结果，归纳如下：360痕迹‎文件在Wi‎n dows‎xp 系统下路径‎为：C:\Docum‎e nts and Setti‎n gs\用户名\Appli ‎c a tio‎n Data\360se‎\data\ histo‎r y.dat。

360痕迹‎文件在Wi‎n dows‎7/8 系统下路径‎为：C:\Users‎\用户名\AppDa‎t a\Roami‎ng\360se‎6\User Data\Defau‎l t\ Histo‎r y（如图2）。

图2：360痕迹‎文件在Wi‎n dows‎7 系统下路径‎2.分清360‎浏览器历史‎痕迹文件的‎类型360浏览‎器历史痕迹‎文件在不同‎操作系统下‎位置不一样‎，在不同操作‎系统中记录‎历史痕迹的‎文件类型也‎不一样。

电子数据取证知识点总结1. 电子数据取证的重要性随着科技的发展和监管的提高，电子数据在法律上的重要性日益增加。

电子数据取证能够帮助法庭和调查机构获取真实、可信的数字证据，并且可以帮助律师更好地了解案件的情况，帮助调查人员找到调查线索。

2. 电子数据取证的对象电子数据取证可以涉及到各种各样的电子设备和存储介质，例如计算机、服务器、手机、平板电脑、U盘、硬盘等等。

此外，还可以涉及到各种各样的文件格式，例如文档、电子邮件、照片、视频、音频等等。

3. 电子数据取证的流程电子数据取证通常包括以下几个步骤：第一步，确定取证范围和目标，明确需要取证的设备和介质，明确需要取证的时间段等等。

第二步，准备取证工具和设备，例如数据恢复软件、硬件取证设备、数据线等等。

第三步，进行实际的数据提取工作，根据取证的目标，使用相应的取证工具和设备提取数据。

第四步，对提取的数据进行处理和分析，例如解密加密文件、查找隐藏文件等等。

第五步，制作和提交取证报告，将取证结果整理好，保存为报告形式，并提交给相关的法庭或调查机构。

4. 电子数据取证的法律依据电子数据取证涉及到众多的法律和法规，例如《中华人民共和国刑事诉讼法》、《电子签名法》、《网络安全法》等等。

在进行取证工作的过程中，必须严格遵守相关的法律法规，否则可能会导致取证结果的无效。

5. 电子数据取证的技术挑战电子数据取证面临着诸多技术挑战，例如设备兼容性、数据恢复困难、加密文件的解密等等。

为了克服这些挑战，需要具备丰富的技术经验和严密的工作流程。

6. 电子数据取证的风险电子数据取证并非一项简单的工作，其中存在着很多潜在的风险。

例如数据的篡改、证据的丢失、取证程序的不合规等等。

为了规避这些风险，必须严格遵守规定的取证流程和标准。

7. 电子数据取证的未来发展随着科技的不断进步，电子数据取证将会变得更加智能化、自动化，例如量子计算、人工智能等技术的应用将会极大地改变取证的方式和方法。

总之，电子数据取证是一项极其重要的工作，在日常生活和工作中都会涉及到。

《犯罪研究》2019年第5期理论研究论无人机电子数据取证的挑战与应对赵子玉*内容摘要：随着信息技术的发展，电子数据取证与鉴定成为法庭科学领域的一项重要研究内容。

目前电子数据作为一种全新的证据形式已被确立，为确保电子证据的合法性和真实性，其有关获取程序和方法亟需规范。

无人机作为电子数据取证的新对象，研究其取证面临的挑战和应对方法尤为重要。

本文通过对无人机电子数据取证背景及对象的研究，对无人机电子数据取证的现状及挑战进行深度剖析，提出无人机电子数据取证从证据的固定识别到检验保存的程序规范，发展电子数据取证人才的培养机制以及电子数据取证的法律应对，为完善我国电子数据取证的法律规制提供参考借鉴。

关键词：无人机、电子数据取证、程序规范、法律应对一、无人机电子数据取证简介(-)无人机电子数据取证背景无人机是无人驾驶飞机的简称(Unmanned Aerial Vehicle),是利用无线电遥控设备和自备的程序控制装置的不载人飞机。

E无人机是新一轮科技浪潮的推动着，在全球范围内展现出巨大的潜力。

但与此同时，无人机飞行时对其他飞行物和地面人员可能构成安全隐患，会带来间谍行为、交通事故、飞入政府禁区、侵犯个人隐私、偷运毒品、抢占航线等严重的安全问题，且利用无人机实施犯罪的行为，时有发生，这已经引起政府部门与社会各界的强烈关注。

⑵为了维护国家安全、保障社会安全、保护个人隐私，对无人机进行电子数据取证已是大势所趋。

随着无人机技术、市场、监管和空域管理的不断发展，各国对于无人机的管控正在不断趋向成熟。

⑶在无人机电子数据取证方面，瑞典MSAB公司率先将无人机取证结合到了其手机取证软件中。

在国内，已有不少机构针对无人机电子数据取证进行研究，其中包括了对地面控制设备数据的提取。

据悉美亚柏科手机取证系列软件已增加对大疆主流型号无人机的取证支持，并于2017年在市面上发布；同时，美亚柏科己研发专用无人机取证工具，后续将提供试用版本。

电子数据取证标准随着全球信息化的速展，越来越多的数据以子形式保存。

信息安全品、信息安全服、安全事件理与急响等方面都离不开子据；此外，在商交易、政府服、交流沟通、网等各种网用中也大量涉及到子据。

但是如同潘多拉的魔盒，商用的快速展也伴随着互网法犯罪不断增。

有数据示2013 年中国网民在互网上失近1500 ，截止 2013 年 12 月，我国网民模达到 6.18 ，就意味着2014 年中国网民每人平均失达243 元。

子数据取技，是信息安全域的一个全新分支，逐受到人的重，它不是法学在算机科学中的有效用，而且是有网安全体系的有力充。

近年来，我国的民事法、刑事法和行政法将子数据确立法定据种之一，子据已在我国民事、刑事和行政法活中重要作用。

子数据取是一个的程，因它需要符合法律的要求。

因此，取机构必从“人、机、料、法、” 等多个方面范子数据取工作。

我国子据的准化工作起步晚，但是国家于相关准工作十分重。

《全国人大常委会关于司法定管理的决定》（以下称《决定》）从国家基本法律面子数据定遵守技准的做了明确定，即“ 定人和定机构从事司法定，当遵守法律、法，遵守道德和律，尊重科学，遵守技操作范。

”部章和范性文件面也有似定。

2005 年《公安机关子数据定》（公信安 [2005]281号）明确要求公安机关子数据定人当履行并遵守行准和定程定的；2006 年《公安机关定机构登管理法》（公安部令第83 号）明确将定机构遵守技准的情况入公安登管理部年度考核的内容中；2007 年《司法定程序通》（司法部令第107 号）定人采技准做出了的要求，其第 22 条定，“司法定人行定，当依下列序遵守和采用域的技准和技范：（一）国家准和技范；（二）司法定主管部、司法定行或者相关行主管部制定的行准和技范；（三）域多数家可的技准和技范⋯..”在我国电子数据鉴定领域，要真正贯彻以上法律法规的规定，国家标准和技术规范、行业标准和技术规范等标准的制定和发布是前提。

电子取证流程电子证据，是指在计算机或计算机系统运行过程中产生的，以其记录内容来证明案件事实的电磁记录物。

以下是小编为您整理的电子取证流程，希望对您有帮助。

电子取证流程如下一、电子取证的操作流程(1)受理案件调查机关在受理案件时，要详细记录案情，全面地了解潜在的与案件事实相关的电子证据材料，如涉案的计算机系统、打印机等电子设备的情况，包括系统日志、IP地址、网络运行状态、日常设备软件使用情况、受害方和犯罪嫌疑人的信息技术水平等。

(2)保护涉案现场取证人员进入现场后，应迅速封锁整个计算机区域，将人、机、物品之间进行物理隔离;保护目标计算机系统，及时维持计算机网络运行状态，保护诸如移动硬盘、U盘、光盘、打印机、录音机、数码相机等相关电子设备，查看各类设备连接及使用情况，在操作过程中要避免任何更改系统设置、硬件损坏、数据破坏或病毒感染等情况的发生，以免破坏电子证据的客观性或造成证据的丢失。

(3)收集电子证据由于电子证据的脆弱性，在证据收集过程中，应当由调查人员或是聘请的司法鉴定专家检查硬件设备，切断可能存在的其他输入、输出设备，保证计算机储存的信息在取证过程中不被修改或损毁。

之后对原始存储介质进行备份，在备份过程中，应当使用安全只读接口，使用写保护技术进行操作，备份结束后检查备份文件是否与原文件一致，注意在此过程中需要进行全程录像并要求有第三方现场见证，以保证电子证据的客观真实性。

(4)固定和保管电子证据在对计算机中的资料和数据进行备份过程后，应当及时记录各设备的基本信息、备份的时间、地点、数据来源、提取过程、使用方法、备份人及见证人名单并签名。

在存储电子证据时，必须按照科学方法保全，要远离磁场、高温、灰尘、潮湿、静电环境，避免造成电磁介质数据丢失，防止破坏重要的线索和证据。

还要注意防磁，特别是使用安装了无线电通讯设备的交通工具运送电子证据时，要关掉车上的无线设备，以免其工作时产生的电磁场破坏计算机及软盘、磁带等存储的数据。

可信时间戳互联网电子数据取证及固化保全操作指引（V1.0）二0一七年七月发布单位：联合信任时间戳服务中心（北京联合信任技术服务有限公司）版权声明：北京联合信任技术服务有限公司拥有该操作指引全部版权目录摘要 (3)第一章总则 (4)第二章可信时间戳取证固化业务操作指南 (5)摘要由于数据电文（电子证据）具有易被无痕篡改、原始性认定困难的特点，在司法实践中往往给双方当事人和裁判过程带来困扰,为了有效解决这一问题，联合信任时间戳服务中心结合可信时间戳的特点和司法实践特制定本指引。

本指引对利用可信时间戳完成基于互联网的电子数据取证及固化保全，进行了较为全面的说明，包括技术术语的解释、时间戳服务机构的介绍、适用范围、操作过程、参考判例等。

重要提示：本指引旨在对基于互联网的电子数据取证方法进行说明，按本方法取证可最大程度避免伪造、篡改证据的可能。

使用者应根据取证的实际场景设计取证环节和步骤，亦可添加取证内容用以证明取证过程和还原事实真相。

司法机构具有独立的裁决权，本指引不构成对使用者的任何承诺！第一章总则第1条制定指引的目的和依据1.目的本指引旨在使互联网中的电子证据的采集、固化符合有关证据原始性的要求，指导司法机关、行政机构、执法人员、律师、当事人利用可信时间戳对互联网电子数据进行客观、真实的取证和固化，用以还原事实真相、减少事实争议、降低取证费用。

2.依据根据《中华人民共和国电子签名法》、《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》、《中华人民共和国行政诉讼法》及《中华人民共和国律师法》等法律法规的有关规定，结合互联网电子证据的特点，制定本指引。

第2条缩略语与名词解释时间戳服务机构(以下简称“TSA1”)：是指由国家授时中心进行授时与守时保障的联合信任时间戳服务中心。

该中心由北京联合信任技术服务有限公司(以下简称“联合信任”)负责运营和技术支持，官方网址为。

可信时间戳(TTS2):是指由联合信任时间戳服务中心签发的时间戳。

电子取证— 360浏览器历史记录数据恢复提取方法编者按：本期，数据恢复四川省重点实验室科研人员将介绍360浏览器历史浏览记录数据恢复提取方法。

其中，针对XP系统下的二进制dat文件解析方法在市场上属于首创，可助力一线取证人员对360浏览器历史记录文件进行快速解析和提取，为电子取证和案件侦破提供关键线索。

一、背景介绍近年来,利用计算机进行网络犯罪呈高增长态势,浏览器历史痕迹成为计算机取证的重点。

由于某些浏览器保存记录方法是自己特定的格式，市面上很少有工具或者方法针对这种文件解析，所以这种浏览器历史痕迹被删除后，如果没有解析方法，整个痕迹提取环节就陷入僵局。

目前，市面上主要浏览器有微软IE、谷歌Chrome、奇虎360浏览器、搜狗浏览器、百度浏览器等。

其中，360浏览器作为主流浏览器之一，占有较高市场份额，而它的浏览器保存记录方法就属于特定格式。

因此，研究360浏览器的历史痕迹提取方法并形成有效的电子证据，对计算机取证有重要意义。

图1：2015年8月浏览器市场占有率统计二、技术方案1.确定360浏览器历史痕迹文件位置360浏览器历史记录文件在不同操作系统中存储位置也不一样，根据目前分析结果，归纳如下：360痕迹文件在Windows xp 系统下路径为：C:\Documents and Settings\用户名\Application Data\360se\data\ history.dat。

360痕迹文件在Windows 7/8 系统下路径为：C:\Users\用户名\AppData\Roaming\360se6\User Data\Default\ History（如图2）。

图2：360痕迹文件在Windows 7 系统下路径2.分清360浏览器历史痕迹文件的类型360浏览器历史痕迹文件在不同操作系统下位置不一样，在不同操作系统中记录历史痕迹的文件类型也不一样。

目前研究发现，360浏览器历史痕迹文件主要有两类；一类是XP 系统下的二进制dat文件类型；另一类是win 7/8 系统下的sqlite3 数据库类型。