CN105353665A - 基于Android系统的手机删除信息的恢复系统及其方法 - Google Patents
基于Android系统的手机删除信息的恢复系统及其方法 Download PDFInfo
- Publication number
- CN105353665A CN105353665A CN201510901477.1A CN201510901477A CN105353665A CN 105353665 A CN105353665 A CN 105353665A CN 201510901477 A CN201510901477 A CN 201510901477A CN 105353665 A CN105353665 A CN 105353665A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- windows
- mobile phone
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
Abstract
本发明公开了一种基于Android系统的手机删除信息的恢复系统及其方法,涉及删除数据恢复的技术领域。本恢复方法是:①利用信号屏蔽设备对手机进行信号屏蔽;②Windows控制模块控制设备检测模块、权限提升模块和命令发送模块初始化运行;③Windows控制模块初始化文件信息获取模块,然后控制该模块将数据从手机采集到windows控制模块并定位删除数据位置;④Windows控制模块控制数据解析模块定位恢复与提取删除数据;⑤Windows控制模块控制数据呈现模块将恢复出的数据进行展现。本发明能够提取被删除或已过时的数据;数据提取效率高,准确率高,操作简单;对特定目标的手机取证、案件侦查和诉讼活动将会起到非常重要的作用,可以广泛运用在政府和检察机关。
Description
技术领域
本发明涉及删除数据恢复的技术领域,尤其涉及一种基于Android系统的手机删除信息的恢复系统及其方法,对手机电子取证中的案件侦查和诉讼活动将会起到非常重要的作用。
背景技术
智能手机在方便用户的同时,与其相关的违法犯罪活动也越来越多,如短信诈骗、隐私窃取和非法转账交易等。手机里存储的各类信息,如短信、电子邮件、银行转账、股票交易和聊天记录等,对案件侦查和诉讼活动将会起到非常重要的作用。
智能手机取证技术,其目的是尽可能的从目标手机中提取更多的证据。因此对于误删除,故意删除甚至对文件系统进行格式化等操作导致的数据丢失,都需要进行最大限度地恢复。对于传统的手机取证技术,是没有办法恢复这些被删除的数据的,因此如何获取这些数据是本发明解决的关键。
发明内容
本发明的目的在于克服现有数据信息提取的缺点和不足,提供一种基于Android系统的手机删除信息的恢复系统及其方法;此方法是一种在SQLite数据库逻辑存储结构以及物理存储结构的分析基础之上的数据提取方法,旨在解决目前智能手机取证技术中,对于误删或故意删除的数据无法查看的问题。
实现本发明目的技术方案:
一、基于Android系统的手机删除信息的恢复系统(简称系统)
本系统包括依次连通的Windows控制器、Android终端和信号屏蔽设备。
Windows控制器包括Windows控制模块及分别与Windows控制模块交互的设备检测模块、权限提升模块、命令发送模块、文件信息获取模块、数据解析模块和数据呈现模块。
二、基于Android系统手机的删除数据恢复方法(简称方法)
本方法包括如下步骤:
①利用信号屏蔽设备对手机进行信号屏蔽,Windows控制器和Android终端通过USB进行连接;
②Windows控制模块控制设备检测模块、权限提升模块和命令发送模块初始化运行;
③Windows控制模块初始化文件信息获取模块,然后控制该模块将数据从手机采集到windows控制模块并定位删除数据位置;
④Windows控制模块控制数据解析模块定位恢复与提取删除数据;
⑤Windows控制模块控制数据呈现模块将恢复出的数据进行展现。
本发明具有下列优点和积极效果:
①弥补了传统手机取证技术无法提取被删除数据的缺陷,通过本系统对文件系统进行深入挖掘分析,使得提取被删除或已过时的数据成为可能;
②对于误删除、故意删除甚至对文件系统进行格式化等操作导致的数据丢失,都可以进行最大限度地恢复;
③数据提取效率高,准确率高,操作简单,采集信息不受移动端手机型号限制;
④对特定目标的手机取证、案件侦查和诉讼活动将会起到非常重要的作用,可以广泛运用在政府和检察机关。
附图说明
图1是本系统的结构方框图;
图2是Windows控制模块17初始化文件信息提取模块14并控制该模块采集数据库文件并定位删除数据的流程图;
图3是Windows控制模块17初始化数据解析模块15并控制该模块提取与恢复删除数据的流程图。
图4是经恢复和提取后的被删除短信息数据图片。
图中:
10—Windows控制器,
11—设备检测模块,
12—权限提升模块,
13—命令发送模块,
14—文件信息获取模块,
15—数据解析模块,
16—数据呈现模块,
17—Windows控制模块;
20—Android终端;
30—信号屏蔽设备。
英译汉:
1、Android:安卓,是一种基于Linux的自由及开放源代码的操作系统。
2、SQLite:是一款轻型的数据库。
具体实施方式
下面结合附图和实施例详细说明:
一、系统
1、总体
如图1,本系统包括依次连通的Windows控制器10、Android终端20和信号屏蔽设备30。
2、功能部件
1)Windows控制器10
Windows控制器10采用搭载Intel酷睿i54590处理器或者具有相同处理能力的具有2G内存、500G硬盘容量的笔记本,运行Windows7系统或其他更高版本的Windows系统。
其内嵌的软件包括Windows控制模块17及分别与Windows控制模块17交互的设备检测模块11、权限提升模块12、命令发送模块13、文件信息获取模块14、数据解析模块15和数据呈现模块16。
(1)设备检测模块11是一种基于Windows操作系统的控制软件,对连接的Android终端设备进行设备型号、操作系统类型和操作系统版本的检测;
(2)权限提升模块12是一种基于Windows操作系统的控制软件,控制对Android终端的操作系统的访问权限进行提升;
(3)命令发送模块13是一种基于Windows操作系统的控制软件,完成对手机下发各项操作命令的功能;
(4)文件信息获取模块14是一种基于Windows操作系统的控制软件,完成对手机文件系统信息的提取与删除数据的位置定位;
(5)数据解析模块15是一种基于Windows操作系统的控制软件,完成对被删除数据的恢复与解析;
(6)数据呈现模块16是一种基于Windows操作系统的控制软件,完成对被提取出的删除数据的展现;
(7)Windows控制模块17是一种基于Windows操作系统的控制软件,完成对各个模块的初始化与功能控制。
2)Android终端20
Android终端20是一种基于安卓操作系统的手机。
3)信号屏蔽设备30
信号屏蔽设备30是一个包括屏蔽盒和干扰器的硬件终端。
3、工作机理
运行在Windows控制器10上的Windows控制模块17对连接的手机设备进行设备型号、操作系统类型和操作系统版本的检测;控制权限提升模块12对手机设备的操作系统的访问权限进行提升,获取到手机系统数据的读取权限;文件信息获取模块14将数据从手机获取到windows控制终端上并定位删除数据的位置,通过数据解析模块15恢复被删除的数据最后通过数据呈现模块16进行展现。
二、方法
本发明是一种基于Android系统手机的数据恢复方法,通过该方法能够有效恢复Android手机中被删除的信息。
*步骤②
所述步骤②的工作流程如下:
A、Windows控制模块对连接的手机设备进行设备型号、操作系统类型和操作系统版本的检测;
B、控制权限提升模块对手机设备的操作系统的访问权限进行提升,获取到手机系统数据的读取权限;
C、命令发送模块向Android终端发送实时命令。
*步骤③
所述步骤③的工作流程如下:
a、打开数据库表文件-201;
在windows操作系统下通过cmd命令进入到命令行中,并将当前路径切换到AndroidSDK的tools目录下,接下来就可以使用SQLitedb命令从data/data/应用程序/database文件夹中打开数据库。
b、查找数据所在的数据结构的树根页-202;
每个应用程序的数据库中由若干不同的相关联的表组成,需要从该数据库所对应的十六进制文件中找到每个表的起始位置和结束位置,其前提条件就需要找到该数据库文件中所有Btree页的根页。从SQLite的开发者那里我们可以得知系统表SQLite_master中存储了所有表的根页编号,以及数据库的schema信息。根页的存储位置随着SQLitemaster表的创建而随之确定。
c、查找树的所有节点-203;
Btree页是由许多大小相同的数据块构成,这些数据块就是其存储单元,每个存储单元代表了一条数据记录。Btree页的根页面和内部节点页都用于搜索导航,这些页中的数据域均指向下一层页,从而找到下一个结点,这样遍历以后便可找到所有的叶子结点。
d、分析所有节点-204;
通常首8个字节为Btree的页头,页头有固定的组织结构;页头的首字节是一个重要的判断标志,可以通过它来区分该页是叶子页还是内部页。
e、判断该节点是否为子节点-205,是则进入步骤f,否则进入步骤g;
若页头的首字节为0x13,说明此页是树形结构的叶子页,若为0x05,则说明此页是树形结构的内部表B-tree页。
f、解析子节点数据-206;
第4个字节的内容代表单元数,表示该页共包含的记录条数,若该页为叶子页,则单元数代表该页中所包含的数据记录条数,从该页的指针域所对应的字节就可以很容易的判断出数据记录对应的起始单元地址和截止单元地址。
g、解析内部页数据-207;
若该页为内部页,则单元数代表该内部页所包含的的子页页数,从该页的指针域所对应的字节就可以很容易的判断出内部页对应的起始单元地址和截止单元地址。
h、保存解析完成的数据到内存中-208;
i、判断所有数据是否解析完成-209,是则结束步骤j,否则跳转到步骤c;
j、结束-210。
*步骤④
所述步骤④的工作流程如下:
Ⅰ、子节点遍历-301;
Ⅱ、判断子节点是否为空-302,是则跳转到步骤Ⅰ,否则进入步骤Ⅲ;
Ⅲ、通过键值获取第N个块的偏移量-303;
接下来以提取freeblock块中删除数据为例,具体如表1所示。
表1十六进制数据文件
由第一个字节可知这是一个叶子页,从2,3字节的内容0x0236可以得知该节点中第一个空闲块相对页头的地址偏移量,由此可知,第一个空闲块在本页中的所处位置是0x13076,存储详情如表2所示。
表2十六进制数据文件
Ⅳ、获取本页的单元数-304;
由上面分析得出的数据起始地址0x13076可以找到待恢复的被删除数据,即图中蓝色区域所示。此空闲块的前2个字节0x00,0x00代表到下一个空闲块的地址偏移量,因此,该空闲块就是本叶子页中的最后一个空闲块。
Ⅴ、判断单元数是否为0-305,是则跳转到步骤Ⅲ,否则进入到步骤Ⅵ;
Ⅵ、获取页编号-306;
VII、获取单元内容区的起始地址-307;
VIII、获取单元内容区的净荷长度-308;
紧随其后的两个字节0x01,0x32代表本空闲块所占的总容量。
IX、遍历该单元内容区-309;
偏移2个字节以后,0x001E代表被删除数据记录的存储位置。
Ⅹ、判断所有数据是否解析完成-310,是则进入步骤Ⅺ,否则跳转到步骤Ⅲ;
Ⅺ、保存解析完成的数据到内存中-311;
Ⅻ、结束-312。
*步骤⑤
Windows控制模块170控制数据呈现模块160将恢复出的数据进行展现。
三、实验结果
经恢复和提取后的被删除短信息数据,如图4所示。
Claims (5)
1.一种基于Android系统的手机删除信息的恢复系统,其特征在于:
包括依次连通的Windows控制器(10)、Android终端(20)和信号屏蔽设备(30);
所述的Windows控制器(10)包括Windows控制模块(17)及分别与Windows控制模块(17)交互的设备检测模块(11)、权限提升模块(12)、命令发送模块(13)、文件信息获取模块(14)、数据解析模块(15)和数据呈现模块(16)。
2.基于权利要求1所述手机删除信息的恢复系统的恢复方法,其特征在于包括下列步骤:
①利用信号屏蔽设备对手机进行信号屏蔽,Windows控制器和Android终端通过USB进行连接;
②Windows控制模块控制设备检测模块、权限提升模块和命令发送模块初始化运行;
③Windows控制模块初始化文件信息获取模块,然后控制该模块将数据从手机采集到windows控制模块并定位删除数据位置;
④Windows控制模块控制数据解析模块定位恢复与提取删除数据;
⑤Windows控制模块控制数据呈现模块将恢复出的数据进行展现。
3.按权利要求2所述的恢复方法,其特征在于步骤②的工作流程如下:
A、Windows控制模块对连接的手机设备进行设备型号、操作系统类型和操作系统版本的检测;
B、控制权限提升模块对手机设备的操作系统的访问权限进行提升,获取到手机系统数据的读取权限;
C、命令发送模块向Android终端发送实时命令。
4.按权利要求2所述的恢复方法,其特征在于步骤③的工作流程如下:
a、打开数据库表文件(201);
b、查找数据所在的数据结构的树根页(202);
c、查找树的所有节点(203);
d、分析所有节点(204);
e、判断该节点是否为子节点(205),是则进入步骤f,否则进入步骤g;
f、解析子节点数据(206);
g、解析内部页数据(207);
h、保存解析完成的数据到内存中(208);
i、判断所有数据是否解析完成(209),是则结束步骤j,否则跳转到步骤c;
j、结束(210)。
5.按权利要求2所述的恢复方法,其特征在于步骤④的工作流程如下:
Ⅰ、子节点遍历(301);
Ⅱ、判断子节点是否为空(302),是则跳转到步骤Ⅰ,否则进入步骤Ⅲ;
Ⅲ、通过键值获取第N个块的偏移量(303);
Ⅳ、获取本页的单元数(304);
Ⅴ、判断单元数是否为0(305),是则跳转到步骤Ⅲ,否则进入到步骤Ⅵ;
Ⅵ、获取页编号(306);
、获取单元内容区的起始地址(307);
、获取单元内容区的净荷长度(308)
、遍历该单元内容区(309);
Ⅹ、判断所有数据是否解析完成(310),是则进入步骤Ⅺ,否则跳转到步骤Ⅲ;
Ⅺ、保存解析完成的数据到内存中(311);
Ⅻ、结束(312)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510901477.1A CN105353665A (zh) | 2015-12-08 | 2015-12-08 | 基于Android系统的手机删除信息的恢复系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510901477.1A CN105353665A (zh) | 2015-12-08 | 2015-12-08 | 基于Android系统的手机删除信息的恢复系统及其方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105353665A true CN105353665A (zh) | 2016-02-24 |
Family
ID=55329654
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510901477.1A Pending CN105353665A (zh) | 2015-12-08 | 2015-12-08 | 基于Android系统的手机删除信息的恢复系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105353665A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107332974A (zh) * | 2017-05-23 | 2017-11-07 | 成都联宇云安科技有限公司 | 一种在未备份数据的情况下恢复安卓手机通讯录和短信数据的方法 |
CN109522157A (zh) * | 2018-11-14 | 2019-03-26 | 武汉虹旭信息技术有限责任公司 | 基于iOS应用数据提取恢复的人物关系分析系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103064764A (zh) * | 2012-12-28 | 2013-04-24 | 盘石软件(上海)有限公司 | 一种快速恢复安卓手机删除信息的取证方法 |
CN103793298A (zh) * | 2014-03-03 | 2014-05-14 | 公安部第三研究所 | 实现Android手机信息读取的方法 |
KR20140083556A (ko) * | 2012-12-26 | 2014-07-04 | 고려대학교 산학협력단 | SQLite 데이터베이스에서 삭제된 데이터의 복원 방법 및 장치 |
CN104156430A (zh) * | 2014-08-11 | 2014-11-19 | 四川效率源信息安全技术有限责任公司 | 一种快速提取安卓手机数据的装置和方法 |
CN105005514A (zh) * | 2015-07-02 | 2015-10-28 | 四川效率源信息安全技术有限责任公司 | 基于安卓系统的设备的数据取证方法 |
CN105022949A (zh) * | 2015-07-02 | 2015-11-04 | 盘石软件(上海)有限公司 | 一种对安卓手机进行证据固定的手持设备以及固定方法 |
-
2015
- 2015-12-08 CN CN201510901477.1A patent/CN105353665A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140083556A (ko) * | 2012-12-26 | 2014-07-04 | 고려대학교 산학협력단 | SQLite 데이터베이스에서 삭제된 데이터의 복원 방법 및 장치 |
CN103064764A (zh) * | 2012-12-28 | 2013-04-24 | 盘石软件(上海)有限公司 | 一种快速恢复安卓手机删除信息的取证方法 |
CN103793298A (zh) * | 2014-03-03 | 2014-05-14 | 公安部第三研究所 | 实现Android手机信息读取的方法 |
CN104156430A (zh) * | 2014-08-11 | 2014-11-19 | 四川效率源信息安全技术有限责任公司 | 一种快速提取安卓手机数据的装置和方法 |
CN105005514A (zh) * | 2015-07-02 | 2015-10-28 | 四川效率源信息安全技术有限责任公司 | 基于安卓系统的设备的数据取证方法 |
CN105022949A (zh) * | 2015-07-02 | 2015-11-04 | 盘石软件(上海)有限公司 | 一种对安卓手机进行证据固定的手持设备以及固定方法 |
Non-Patent Citations (1)
Title |
---|
陈明艳: "手机信息取证系统的研究与设计", 《中国优秀硕士学位论文全文数据库(电子期刊) 信息科技辑》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107332974A (zh) * | 2017-05-23 | 2017-11-07 | 成都联宇云安科技有限公司 | 一种在未备份数据的情况下恢复安卓手机通讯录和短信数据的方法 |
CN109522157A (zh) * | 2018-11-14 | 2019-03-26 | 武汉虹旭信息技术有限责任公司 | 基于iOS应用数据提取恢复的人物关系分析系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103559276B (zh) | 一种清理垃圾文件的方法及其装置 | |
CN103793298A (zh) | 实现Android手机信息读取的方法 | |
US11907659B2 (en) | Item recall method and system, electronic device and readable storage medium | |
CN103064764A (zh) | 一种快速恢复安卓手机删除信息的取证方法 | |
CN104090922B (zh) | 一种清理隐私数据的方法和装置 | |
CN103942054A (zh) | 一种基于安卓的数据取证系统 | |
CN102937926A (zh) | 一种恢复移动终端已删除sqlite文件的方法及装置 | |
CN109471851B (zh) | 数据处理方法、装置、服务器和存储介质 | |
CN106021301B (zh) | 一种不同文件格式的数据比对系统及方法 | |
CN105005474B (zh) | 一种对Android手机信息进行秘密提取的微型设备和提取方法 | |
CN105005514A (zh) | 基于安卓系统的设备的数据取证方法 | |
CN105022949A (zh) | 一种对安卓手机进行证据固定的手持设备以及固定方法 | |
CN103440297A (zh) | 一种用户操作日志信息的记录及读取方法 | |
CN105183811A (zh) | 一种勘探钻孔编录的信息化数据采集系统 | |
CN104298766A (zh) | 一种清除SQLite数据库中数据的方法 | |
CN105353665A (zh) | 基于Android系统的手机删除信息的恢复系统及其方法 | |
CN107784055A (zh) | 基于非关系型数据库的事务处理方法和装置 | |
CN100514916C (zh) | 安全管理中心系统中的日志格式化单元及方法 | |
CN105207830A (zh) | 一种终端信息的检测方法、装置及终端 | |
CN104156669A (zh) | 一种计算机信息取证系统 | |
CN111858550B (zh) | 一种固件系统特征数据库的构建及更新方法 | |
CN107016086B (zh) | 一种提取安卓系统GooglePlay中行为及位置数据的方法 | |
CN111176901B (zh) | 一种hdfs删除文件恢复方法、终端设备及存储介质 | |
CN107436938A (zh) | 一种关系数据库前映像的附加日志解析方法 | |
CN110543457A (zh) | 轨迹类文档处理方法和装置、存储介质及电子装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160224 |