CN104021217A - 一种提取手机碎片文件和被删除文件的系统和方法 - Google Patents
一种提取手机碎片文件和被删除文件的系统和方法 Download PDFInfo
- Publication number
- CN104021217A CN104021217A CN201410282053.7A CN201410282053A CN104021217A CN 104021217 A CN104021217 A CN 104021217A CN 201410282053 A CN201410282053 A CN 201410282053A CN 104021217 A CN104021217 A CN 104021217A
- Authority
- CN
- China
- Prior art keywords
- data
- fragment
- file
- mobile phone
- page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2282—Tablespace storage structures; Management thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1724—Details of de-fragmentation performed by the file system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种提取手机碎片文件和被删除文件的系统,包括手机端、设备端、存储介质,所述设备端表面设有接口1、接口2、人工操作平台,手机端通过数据线与接口1连接,存储介质通过数据线与接口2连接。还公开了基于该系统的方法,1)打开手机文件;2)分析表结构定义特征;3)获取B-TREE树结构;4)标注所有页;5)三路并行处理:a.获取正常页数据,b.页内数据标注,c.生成数据特征码;6)匹配并重组碎片文件;7)提取碎片文件。本发明采用位图算法找到数据库中碎片数据,将碎片数据完整的重组为有用的信息文件,减少个人和公司因数据丢失带来的损失,提取有力的电子证据,降低司法机关侦破案件的难度。可以自动提取与人工修改相结合的方式生成匹配文件降低提取过程中错误的产生。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种提取手机碎片文件和被删除文件的系统,还涉及基于该系统的方法。
背景技术
智能手机具有独立操作系统、独立运行空间、可自行安装第三方软件,扩展功能强大,已经与人们的生活密不可分,其中的手机数据信息涉及人们的工作、学习、生活、交往、财务、休闲、娱乐、情感等,对个人或公司来说是十分珍贵的无形资产。同时智能手机取证还可以作为电子物证的一种,帮助公安、检察等司法部门和行政执法部门取证破案。
手机应用数据保存都是基于sqlite轻量级数据库保存。多种情况会生成手机碎片文件和被删除文件,主要是:手机重复储存循环覆盖形成碎片文件;删除、误删除、犯罪嫌疑人恶意删除毁灭罪证。
由于现有的技术缺陷,想要恢复手机机身碎片文件和被删除文件,目前是没有相应的技术能够恢复提取的。虽然市面上有一些特定应用删除数据的恢复提取,但是不具有全面性,无法快速准确针对手机全部数据的碎片和被删除数据进行恢复提取。
发明内容
本发明针对现有技术的缺陷提供一种提取手机碎片文件和被删除文件的系统和方法,能有效的解决上述现有技术存在的问题。
为了实现上述目的,本发明采用的技术方案是:
一种提取手机碎片文件和被删除文件的系统,包括手机端、设备端、存储介质,所述设备端表面设有接口1、接口2、人工操作平台,手机端通过数据线与接口1连接,存储介质通过数据线与接口2连接。
作为优选,所述设备端内部设有数据分析终端、位图算法模块、碎片重组模块,所述数据分析终端分别与接口1和碎片重组模块连接。
作为优选,所述数据分析终端包括特征分析模块、页分析模块、特征码生成模块、碎片位图生成模块,所述特征分析模块与页分析模块彼此配合连接,特征分析模块还与人工操作平台和特征码生成模块连接,页分析模块还与位图算法模块和碎片位图生成模块连接,所述特征码生成模块和碎片位图生成模块都与碎片重组模块连接。
作为优选,特征分析模块用于得到表的结构定义和数据存储格式,得到各个字段的名字、类型和数据存储在表中的内容特征和数据库B-TREE树结构;页分析模块用于区分正常页和空闲页,标记页内正常单元和空闲单元,找到碎片文件准确位置;特征码生成模块用于整合并生成特征分析模块所得到的数据。
碎片位图生成模块用于生成碎片文件存储位置的位图数据文件;碎片重组模块用于匹配特征码、碎片位图、碎片数据源并重组碎片文件。
作为优选,特征分析模块用于得到表的结构定义和数据存储格式,得到各个字段的名字、类型和数据存储在表中的内容特征和数据库B-TREE树结构;页分析模块用于区分正常页和空闲页,标记页内正常单元和空闲单元,找到碎片文件准确位置;特征码生成模块用于整合并生成特征分析模块所得到的数据;
碎片位图生成模块用于生成碎片文件存储位置的位图数据文件;碎片重组模块用于匹配特征码、碎片位图、碎片数据源并重组碎片文件。
本发明还提供一种提取手机碎片文件和被删除文件的方法,包括以下步骤:
1)、打开手机中提取出的机身数据存储文件;
2)、分析数据库所有表的结构定义和数据存储格式,得到各个字段的名字、类型和数据存储在表中的内容特征并记录;
3)、获取所有表的数据存储信息,归类所有表存储的内部节点和叶节点,所有表的存储信息以优化后的树数据结构存储并记录;
4)、采用位图算法中的页标注功能标注该数据库中的所有页,得到所有正常页和空闲页并记录;
5)、三路并行处理:
a.获取数据库表中所有正常页的数据;将该过程中获取的数据做特征分析,分析得到表中的每个字段的数据长度,数据内容特征,文本特征等信息,表中正常的数据内容反应出的部分数据特征,作为表结构定义特征的补充;
b.采用位图算法将正常页和空闲页内的数据进行标注;通过正常单元的数据存储信息来判断是否是空闲回收的单元,以1bit代表页内1byte内容进行标注,标注所有正常单元存储空间,区分出空闲单元存储空间,将标记的碎片位图数据以文件形式保存;
c.整合之前得到的数据库所有表的特征,包括表结构定义特征和表数据特征,整合后为每张表都生成数据特征码,该数据特征码以文件方式保存;
6)、结合生成的数据特征码和碎片位图数据与碎片数据流按照字节顺序依次匹配,匹配成功则表示碎片数据重组成功;
7)、将重组的碎片文件和被删除文件提取至硬盘。
作为优选,所述步骤6中匹配与重组需重复实施直至完成所有碎片数据源的匹配和重组。
作为优选,若得到的表定义特征有误或不完整可以通过人工修正表定义特征数据后进行数据匹配和重组。
有益效果
与现有技术相比本发明的创新点在于:采用位图算法找到sqlite数据库中碎片数据,将碎片数据完整的重组为有用的信息文件,减少个人和公司因数据丢失带来的损失,提取有力电子证据,降低司法机关侦破案件的难度。
可以自动提取与人工修改相结合的方式生成匹配文件降低提取过程中错误的发生。
附图说明
图1为本发明实施例的结构示意图;
图2为本发明实施例的方法流程图。
具体实施方式
为了详细说明本发明的具体实施方式,下面结合附图以说明:
如图1所示,一种提取手机碎片文件和被删除文件的系统,包括手机端、设备端、存储介质,所述设备端表面设有接口1、接口2、人工操作平台,手机端通过数据线与接口1连接,存储介质通过数据线与接口2连接,在本实施例中存储介质为硬盘。
所述设备端内部设有数据分析终端、位图算法模块、碎片重组模块,所述数据分析终端分别与接口1和碎片重组模块连接。
所述数据分析终端包括特征分析模块、页分析模块、特征码生成模块、碎片位图生成模块,所述特征分析模块与页分析模块彼此配合连接,特征分析模块还与人工操作平台和特征码生成模块连接,页分析模块还与位图算法模块和碎片位图生成模块连接,所述特征码生成模块和碎片位图生成模块都与碎片重组模块连接。
下面详细说明本实施例中系统的每一模块的用途:
特征分析模块用于得到表的结构定义和数据存储格式,得到各个字段的名字、类型和数据存储在表中的内容特征和数据库B-TREE树结构。
页分析模块用于区分正常页和空闲页,标记页内正常单元和空闲单元,找到碎片文件准确位置。
特征码生成模块用于整合并生成特征分析模块所得到的数据。
碎片位图生成模块用于生成碎片文件存储位置的位图。
碎片重组模块用于匹配特征码、碎片位图、碎片数据源并重组碎片文件。
如图2所示,一种手机机身碎片文件和被删除文件的提取方法,步骤为:
1)、打开手机中提取出的机身数据存储文件。
2)、分析数据库所有表的结构定义和数据存储格式,得到各个字段的名字、类型和数据存储在表中的内容特征,在sqlite数据库中字段的原始类型仅有整数、文本、浮点数、大数据存储4种类型,不同的定义最终会转换成该4种类型数据存储;在结构化中整数占用字节数在1-8字节,文本占用字节数参数为大于等于13的奇数,浮点数占用字节数始终为8字节,大数据占用字节数参数为大于等于12的偶数,程序会自动分析并记录表的结构定义特征。
3)、获取所有表的数据存储信息,归类所有表存储的内部节点和叶节点,所有表的存储信息以优化后的树数据结构存储并记录;sqlite数据库存储的内容以页为单位,采用B-TREE方式存储,方便索引以及数据的增加,所有表的存储信息以优化后的树数据结构存储在内存中,每张表都包含不同的存储位置,不同的数据节点存储,该过程就是记录B-TREE数据结构信息。
4)、采用位图算法中的页标注功能标注该数据库中的所有页,得到所有正常页和空闲页并记录;位图算法中采用1bit来记录页是否是正常结构,该bit位为1则代表是正常页,bit位为0则代表是空闲页。
5)、三路并行处理:
a.获取数据库表中所有正常页的数据;将该过程中获取的数据做特征分析,分析得到表中的每个字段的数据长度,数据内容特征,文本特征等信息,表中正常的数据内容反应出的部分数据特征,作为表结构定义特征的补充,能够更准确地将碎片数据重组;
b.采用位图算法将正常页和空闲页内的数据进行标注;sqlite数据页内正常数据采用cell方式存储,每个存储单元内容占用后成为正常存储单元,删除数据后单元被回收,该单元变为空闲单元,回收的单元内容是没有显著的数据特征信息的,可以通过判断特征信息来判断是否是空闲回收的单元,以1bit代表页内1byte内容进行标注,标注所有正常单元存储空间,区分出空闲存储单元,生成碎片位图数据文件用于记录空闲存储单元位置;
c.整合之前得到的数据库所有表的特征,包括表结构定义特征和表数据特征,整合后为每张表都生成数据特征码,该数据特征码以文件方式保存;
6)、结合生成的数据特征码和碎片位图数据与碎片数据流按照字节顺序依次匹配,数据特征码会描述表数据存储方式,比如:是否符合整型数据是否符合数据长度等,如果特征匹配成功就代表碎片数据重组成功。
7)、将重组的碎片文件和被删除文件提取至硬盘。
步骤6中匹配与重组需重复实施直至完成所有碎片数据源的匹配和重组。
若得到的表定义特征有误或不完整可根据自适应特征进行有利于数据恢复的微调整,例如数据量不全的情况下,自适应特征可能不准确,此时就需要人工生成特征的方式干预。
以上描述阐述了具体细节以便充分理解本发明,但本发明还可以采用其他不同于此描述方式来实施。因此,本发明并不限于以上公开的具体实施例。
Claims (7)
1.一种提取手机碎片文件和被删除文件的系统,包括手机端、存储介质,其特征在于:还包括设备端,所述设备端表面设有接口1、接口2、人工操作平台,手机端通过数据线与接口1连接,存储介质通过数据线与接口2连接。
2.根据权利要求1所述的一种提取手机碎片文件和被删除文件的系统,其特征在于:设备端内部设有数据分析终端、位图算法模块、碎片重组模块,所述数据分析终端分别与接口1和碎片重组模块连接。
3.根据权利要求2所述的一种提取手机碎片文件和被删除文件的系统,其特征在于:所述数据分析终端包括特征分析模块、页分析模块、特征码生成模块、碎片位图生成模块,所述特征分析模块与页分析模块彼此配合连接,特征分析模块还与人工操作平台和特征码生成模块连接,页分析模块还与位图算法模块和碎片位图生成模块连接,所述特征码生成模块和碎片位图生成模块都与碎片重组模块连接。
4.根据权利要求2或3所述的一种提取手机碎片文件和被删除文件的系统,其特征在于:特征分析模块用于得到表的结构定义和数据存储格式,得到各个字段的名字、类型和数据存储在表中的内容特征和数据库B-TREE树结构;页分析模块用于区分正常页和空闲页,标记页内正常单元和空闲单元,找到碎片文件准确位置;特征码生成模块用于整合并生成特征分析模块所得到的数据;
碎片位图生成模块用于生成碎片文件存储位置的位图数据文件;碎片重组模块用于匹配特征码、碎片位图、碎片数据源并重组碎片文件。
5.一种提取手机碎片文件和被删除文件的方法,其特征在于:包括以下步骤:
1)、打开手机中提取出的机身数据存储文件;
2)、分析数据库所有表的结构定义和数据存储格式,得到各个字段的名字、类型和数据存储在表中的内容特征并记录;
3)、获取所有表的数据存储信息,归类所有表存储的内部节点和叶节点,所有表的存储信息以优化后的树数据结构存储并记录;
4)、采用位图算法中的页标注功能标注该数据库中的所有页,得到所有正常页和空闲页并记录;
5)、三路并行处理:
a.获取数据库表中所有正常页的数据;将该过程中获取的数据做特征分析,分析得到表中的每个字段的数据长度,数据内容特征,文本特征等信息,表中正常的数据内容反应出的部分数据特征,作为表结构定义特征的补充;
b.采用位图算法将正常页和空闲页内的数据进行标注;通过正常单元的数据存储信息来判断是否是空闲回收的单元,以1bit代表页内1byte内容进行标注,标注所有正常单元存储空间,区分出空闲单元存储空间,将标记的碎片位图数据以文件形式保存;
c.整合之前得到的数据库所有表的特征,包括表结构定义特征和表数据特征,整合后为每张表都生成数据特征码,该数据特征码以文件方式保存;
6)、结合生成的数据特征码和碎片位图数据与碎片数据流按照字节顺序依次匹配,匹配成功则表示碎片数据重组成功;
7)、将重组的碎片文件和被删除文件提取至硬盘。
6.根据权利要求4所述的一种提取手机碎片文件和被删除文件的方法,其特征在于:所述步骤6中匹配与重组需重复实施直至完成所有碎片数据源的匹配和重组。
7.根据权利要求4所述的一种提取手机碎片文件和被删除文件的方法,其特征在于:若得到的表定义特征有误或不完整可以通过人工修正表定义特征数据后进行数据匹配和重组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410282053.7A CN104021217B (zh) | 2014-06-23 | 2014-06-23 | 一种提取手机碎片文件和被删除文件的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410282053.7A CN104021217B (zh) | 2014-06-23 | 2014-06-23 | 一种提取手机碎片文件和被删除文件的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104021217A true CN104021217A (zh) | 2014-09-03 |
| CN104021217B CN104021217B (zh) | 2017-02-15 |
Family
ID=51437971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410282053.7A Active CN104021217B (zh) | 2014-06-23 | 2014-06-23 | 一种提取手机碎片文件和被删除文件的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104021217B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104298766A (zh) * | 2014-10-28 | 2015-01-21 | 四川秘无痕信息安全技术有限责任公司 | 一种清除SQLite数据库中数据的方法 |
| CN106547771A (zh) * | 2015-09-18 | 2017-03-29 | 四川效率源信息安全技术股份有限公司 | 基于安卓系统的网页浏览记录恢复的方法 |
| CN106557387A (zh) * | 2015-09-30 | 2017-04-05 | 四川效率源信息安全技术股份有限公司 | 基于安卓系统的新闻客户端阅读记录恢复的方法 |
| CN107332974A (zh) * | 2017-05-23 | 2017-11-07 | 成都联宇云安科技有限公司 | 一种在未备份数据的情况下恢复安卓手机通讯录和短信数据的方法 |
| CN108563535A (zh) * | 2018-04-27 | 2018-09-21 | 四川巧夺天工信息安全智能设备有限公司 | 一种对MySQL数据库全库的恢复方法 |
| CN108563751A (zh) * | 2018-04-16 | 2018-09-21 | 中国刑事警察学院 | 数据库碎片提取方法 |
| CN112541149A (zh) * | 2020-12-18 | 2021-03-23 | 厦门市美亚柏科信息股份有限公司 | 一种用于手机网页内容的恢复方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102298634A (zh) * | 2011-09-09 | 2011-12-28 | 厦门市美亚柏科信息股份有限公司 | 一种Sqlite删除记录结构重组方法 |
| US20120310895A1 (en) * | 2011-06-03 | 2012-12-06 | Chicago Electronic Discovery LLC d/b/a viaForensics | Methods, apparatuses, and computer program products for database record recovery |
| CN102937926A (zh) * | 2012-10-30 | 2013-02-20 | 厦门市美亚柏科信息股份有限公司 | 一种恢复移动终端已删除sqlite文件的方法及装置 |
-
2014
- 2014-06-23 CN CN201410282053.7A patent/CN104021217B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120310895A1 (en) * | 2011-06-03 | 2012-12-06 | Chicago Electronic Discovery LLC d/b/a viaForensics | Methods, apparatuses, and computer program products for database record recovery |
| CN102298634A (zh) * | 2011-09-09 | 2011-12-28 | 厦门市美亚柏科信息股份有限公司 | 一种Sqlite删除记录结构重组方法 |
| CN102937926A (zh) * | 2012-10-30 | 2013-02-20 | 厦门市美亚柏科信息股份有限公司 | 一种恢复移动终端已删除sqlite文件的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 王随刚等: "基于SQLite3的Android手机数据恢复技术的研究", 《警察技术》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104298766A (zh) * | 2014-10-28 | 2015-01-21 | 四川秘无痕信息安全技术有限责任公司 | 一种清除SQLite数据库中数据的方法 |
| CN106547771A (zh) * | 2015-09-18 | 2017-03-29 | 四川效率源信息安全技术股份有限公司 | 基于安卓系统的网页浏览记录恢复的方法 |
| CN106557387A (zh) * | 2015-09-30 | 2017-04-05 | 四川效率源信息安全技术股份有限公司 | 基于安卓系统的新闻客户端阅读记录恢复的方法 |
| CN107332974A (zh) * | 2017-05-23 | 2017-11-07 | 成都联宇云安科技有限公司 | 一种在未备份数据的情况下恢复安卓手机通讯录和短信数据的方法 |
| CN108563751A (zh) * | 2018-04-16 | 2018-09-21 | 中国刑事警察学院 | 数据库碎片提取方法 |
| CN108563535A (zh) * | 2018-04-27 | 2018-09-21 | 四川巧夺天工信息安全智能设备有限公司 | 一种对MySQL数据库全库的恢复方法 |
| CN112541149A (zh) * | 2020-12-18 | 2021-03-23 | 厦门市美亚柏科信息股份有限公司 | 一种用于手机网页内容的恢复方法和系统 |
| CN112541149B (zh) * | 2020-12-18 | 2022-07-08 | 厦门市美亚柏科信息股份有限公司 | 一种用于手机网页内容的恢复方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104021217B (zh) | 2017-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104021217A (zh) | 一种提取手机碎片文件和被删除文件的系统和方法 | |
| CN102937926B (zh) | 一种恢复移动终端已删除sqlite文件的方法及装置 | |
| CN108563535B (zh) | 一种对MySQL数据库全库的恢复方法 | |
| CN109144968B (zh) | 一种数据分布管理系统 | |
| CN102682024B (zh) | 未残缺jpeg文件碎片重组的方法 | |
| GB2496120A (en) | Analysis of emails using a hidden Markov model to recognize sections of the email, e.g. header, body, signature block and disclaimer | |
| CN104462433A (zh) | 一种恢复fat32分区数据的方法 | |
| CN103064764A (zh) | 一种快速恢复安卓手机删除信息的取证方法 | |
| CN104391881A (zh) | 一种基于分词算法的日志解析方法及系统 | |
| CN104035839A (zh) | Android系统隐私数据恢复实现方法 | |
| CN102045268B (zh) | 一种电子邮件数据恢复方法及装置 | |
| CN113190502A (zh) | 基于深度学习的档案管理方法 | |
| CN114997843A (zh) | 一种企业运营管理信息存储系统 | |
| Xiang et al. | Forensic analysis of video files using metadata | |
| CN114896358A (zh) | 一种知识产权数据库关键词抓取识别方法及装置 | |
| CN108038441A (zh) | 一种基于图像识别的系统与方法 | |
| CN103490979A (zh) | 电子邮件鉴定方法和系统 | |
| CN103455479A (zh) | 一种新建联系人的方法及终端 | |
| CN117453646A (zh) | 融合语义与深度神经网络的内核日志联合压缩与查询方法 | |
| CN107562707A (zh) | 电子取证方法及装置 | |
| CN103093213A (zh) | 视频文件分类方法及终端 | |
| Al-Sharif et al. | Carving and clustering files in ram for memory forensics | |
| CN111221967A (zh) | 一种基于区块链架构的语言数据分类存储系统 | |
| CN108563751A (zh) | 数据库碎片提取方法 | |
| CN114546957A (zh) | 一种数据智能集中处理服务平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Tianfu Avenue in Chengdu city Sichuan province 610000 new century No. 1700 global center 2-1-715 Applicant after: SICHUAN XLY INFORMATION SAFETY TECHNOLOGY CO., LTD. Address before: Tianfu Avenue in Chengdu city Sichuan province 610000 new century No. 1700 global center 2-1-715 Applicant before: Sichuan SalvationData Information Safety Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |