CN105357383B - 一种高效分析智能手机底层数据的方法 - Google Patents
一种高效分析智能手机底层数据的方法 Download PDFInfo
- Publication number
- CN105357383B CN105357383B CN201510728110.4A CN201510728110A CN105357383B CN 105357383 B CN105357383 B CN 105357383B CN 201510728110 A CN201510728110 A CN 201510728110A CN 105357383 B CN105357383 B CN 105357383B
- Authority
- CN
- China
- Prior art keywords
- data
- file
- matching
- specified
- mobile phone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
- H04M1/7243—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality with interactive means for internal management of messages
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Human Computer Interaction (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种高效分析智能手机底层数据的方法,包括步骤:S1:读取手机数据的选定区域;S2:从手机数据存储的多重通用特征中抽象出匹配模版用以描述特定的特征数据;S3:通过匹配模版遍历指定区域的数据以获取到特征数据。本发明的有益效果如下:可以获取手机中所有分区信息,建立用于扫描指定数据的匹配模块,可以快速、通用地分析获取手机的系统数据、应用数据、外置存储数据中有价值的特征数据,降低数据检索时间,并提高数据搜索成功率,提高数据检索和恢复的工作效率,帮助破案。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种高效分析智能手机底层数据的方法。
背景技术
由于智能手机的普及,人们的生活、工作、学习、社交、娱乐等都离不开智能手机的使用,智能手机在使用的过程中会随着时间的推移产生和存储大量的用户数据。这些用户数据可能是用户的照片、视频、语音、文档等常见文件,更多的则是智能手机系统或是运行在手机系统中的应用程序产生的用户使用痕迹数据文件。用户使用痕迹数据文件可以是任意格式,包括数据库文件、日志文件、程序序列化文件、多媒体文件等。这些海量的使用痕迹数据文件中记录了大量的用户私人数据,往往这些数据是在用户并不之情的情况下保存下来的,但也是手机程序在运行过程中必然的。
因此任何一款使用过的智能手机都具有一定的数据分析价值,主要是对手机使用者本人的数据进行分析,用于电子证据的提取、关键特征数据的查找等。
传统的数据分析是基于winhex等十六进制数据浏览软件,分析工作限制于PC且对底层十六进制数据需要有专业的认识,分析过程费时费力。目前市面上还没有一种能快速大量分析智能手机底层数据的方法。综上所诉,开发一种能够高效分析智能手机底层数据的方法显得尤为重要。
本发明所涉及的专业知识如下:
一、智能手机数据存储区域的简单介绍
智能手机系统存储数据的区域一般主要包括三部分:第一部份为操作系统分区,主要用作手机操作系统的安装以及系统运行文件的交互、第二部份为应用数据分区,主要用作手机应用程序的安装以及应用数据文件的存储、第三部分为数据扩展存储分区,主要用作存储用户的照片、视频等文件,连接电脑后可直接进行访问。在应用数据分区与数据扩展存储分区中记录着大量用户对手机的使用操作数据。其中在应用数据分区中每一个应用都有自己独有的文件目录。
二、数据在存储区域布局情况的简单介绍
一般情况数据都是以文件的方式存放在数据分区中的,其中文件有多种类型,不同格式的文件具有不同的数据存储结构。一条数据在文件中的存放位置由文件结构决定,要找到文件中的某一条数据,最快的方式就是完全掌握该文件格式的数据存储结构。如果我们删除了某个正常的文件,其实文件并没消失,只是数据不在以文件的方式存放在分区中,而是由多块碎片在分区的文件系统中分散存储,并且被标记删除状态,随时会被新的写入分区的文件覆盖填充,若在数据被彻底填充之前要找到删除文件的数据的存放位置,最快的方式就是完全掌握该分区的文件系统结构。存在类似上述删除数据结构的还有数据库文件。
发明内容
本发明针对现有技术的缺陷,提供了一种高效分析智能手机底层数据的方法,能有效的解决上述现有技术存在的问题。
一种高效分析智能手机底层数据的方法,包括步骤:
S1:读取手机数据的选定区域;
S2:从手机数据存储的多重通用特征中抽象出匹配模版用以描述特定的特征数据;
S3:通过匹配模版遍历指定区域的数据以获取到特征数据,并展现出来。
作为优选,所述S1中需要先选择查找的范围:
若选择范围为分区,通过手机系统api获取各分区路径;
若选择范围为应用,通过手机系统api获取应用路径;
若选择范围为文件,通过手机系统api浏览手机根目录选择指定的文件。
作为优选,所述S2的详细步骤为:
(1)若选择查找的数据区域是分区,则指定分区的文件系统类型记入匹配模板中;
若选择查找的数据区域是目录或文件,则指定需要扫描的文件类型记入匹配模板中;
(2)指定需要匹配的字符组记入匹配模板中;
(3)指定需要匹配的字符编码记入匹配模板中;
(4)指定是否匹配删除数据,若选择匹配则将带有删除标记的数据特征记入匹配模板中;
(5)指定匹配结果的组装方式,可在确定字符组的顺序后将匹配到的字符进行拼接。
作为优选,所述S3的详细步骤如下:
(1)若选择查找的数据区域是分区,则解析文件系统结构,通过文件系统结构解析方法,解析出文件系统的正常数据区域和未使用区域;
(2)若选择的数据区域是目录或文件,则判断文件类型解析文件结构,通过文件头扫描判断方法,过滤掉不属于指定类型的文件,并且解析出指定文件的结构;
(3)将字符组转换为需要匹配的编码,将字符组中的多个字符转换成指定的不同编码格式;
(4)将编码转换为正则式,将上述转换后的编码字符转换为特定的十六进制正则式;
(5)根据文件系统或文件类型进行正则递归扫描,通过正则式对文件系统或文件解析后的区域进行扫描;
(6)判断是否存在删除区域并正则扫描删除区域,若指定了获取删除数据且数据结构中存在删除区域,则对解析出的删除区域进行正则扫描;
(7)按照组装方式,组装递归的字符组产生的结果,对正则式扫描得出的结果进行修正拼接产生分析结果。
与现有技术相比本发明的优点在于:可以获取手机中所有分区信息,建立用于扫描指定数据的匹配模块,可以快速、通用地分析获取手机的系统数据、应用数据、外置存储数据中有价值的特征数据,降低数据检索时间,并提高数据搜索成功率,提高数据检索和恢复的工作效率,帮助破案。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下举实施例,对本发明做进一步详细说明。
一种高效分析智能手机底层数据的方法,包括步骤:
S1:读取手机数据的选定区域;
S2:从手机数据存储的多种通用特征(通用特征为手机中数据存储的常用特征)中抽象出匹配模版用以描述特定的特征数据;
S3:通过特征匹配算法遍历S2选定区域数据以获取到特征数据,并展现。
所述S1的详细步骤为:
如通过手机系统api获取各分区路径来选择整个数据分区;
需要分析手机中某个分区中的特征数据,手机的数据选择区域可以根据手机系统api提供的分区路径来选择整个数据分区。
如通过手机系统api获取应用路径来选择指定应用目录;
需要分析手机中应用程序的特征数据,手机的数据选择区域可以选择指定的应用目录,也可以根据应用的系统权限来选择具有特定系统权限才能产生特定数据的应用,还可以通过应用的根目录名来匹配判断是否在上述扩展分区中存在关联数据目录来一并选择。
如通过手机系统api浏览手机根目录选择指定的文件;
需要清楚数据存放的文件,可以直接指定某个文件分析其中的数据。
所述S2的详细步骤为:
(1)若选择查找的数据区域是分区,则指定分区的文件系统类型,文件系统分区类型包括:FAT32、EXFAT、EXT4等;
若选择查找的数据区域是目录或文件,则指定需要扫描的文件类型,文件类型包括:jpg、mp3、word等。
(2)指定需要匹配的字符组,指定一个或者多个需要匹配的文字字符,例如一个人的名字或者是一个词语都表示文字字符。
(3)指定需要匹配的字符编码,指定上述字符将以那些字符编码后进行匹配,字符编码包括(UTF8、UNICODE等)。
(4)指定是否匹配删除数据,若选择匹配则将带有删除标记的数据特征记入匹配模板中。
(5)指定匹配结果的组装方式,可在确定字符组的顺序后将匹配到的字符进行拼接。
S3:通过特征匹配算法遍历S2中选定区域数据以获取到特征数据的详细步骤如下:
(1)若选择查找的数据区域是分区,则解析文件系统结构,通过文件系统结构解析方法,解析出文件系统的正常数据区域和未使用区域。
(2)若选择的数据区域是目录或文件,则判断文件类型解析文件结构,通过文件头扫描判断方法(文件头扫描就是将符合文件头的指定类型的文件记录),过滤掉不属于指定类型的文件,并且解析出指定文件的结构,特定的文件类型可以通过第三方算法库来进行读取操作。
(3)将字符组转换为需要匹配的编码,将字符组中的多个字符转换成指定的不同编码格式。
(4)将编码转换为正则式,将上述转换后的编码字符转换为特定的十六进制正则式。
(5)根据文件系统或文件类型进行正则递归扫描,通过正则式对文件系统或文件解析后的区域进行扫描。
(6)判断是否存在删除区域并正则扫描删除区域,若指定了获取删除数据且数据结构中存在删除区域,则对解析出的删除区域进行正则扫描。
(7)按照组装方式,组装递归的字符组产生的结果,对正则式扫描得出的结果进行修正拼接产生分析结果。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (2)
1.一种高效分析智能手机底层数据的方法,包括步骤:
S1:读取手机数据的选定区域;
S2:从手机数据存储的多重通用特征中抽象出匹配模版用以描述特定的特征数据;
S3:通过匹配模版遍历指定区域的数据以获取到特征数据,并展现出来;
所述S1中需要先选择查找的范围:
若选择范围为分区,通过手机系统api获取各分区路径;
若选择范围为应用,通过手机系统api获取应用路径;
若选择范围为文件,通过手机系统api浏览手机根目录选择指定的文件;
所述S2的详细步骤为:
(1)若选择查找的数据区域是分区,则指定分区的文件系统类型记入匹配模板中;
若选择查找的数据区域是目录或文件,则指定需要扫描的文件类型记入匹配模板中;
(2)指定需要匹配的字符组记入匹配模板中;
(3)指定需要匹配的字符编码记入匹配模板中;
(4)指定是否匹配删除数据,若选择匹配则将带有删除标记的数据特征记入匹配模板中;
(5)指定匹配结果的组装方式,可在确定字符组的顺序后将匹配到的字符进行拼接。
2.根据权利要求1所述的一种高效分析智能手机底层数据的方法,其特征在于所述S3的详细步骤如下:
(1)若选择查找的数据区域是分区,则解析文件系统结构,通过文件系统结构解析方法,解析出文件系统的正常数据区域和未使用区域;
(2)若选择的数据区域是目录或文件,则判断文件类型解析文件结构,通过文件头扫描判断方法,过滤掉不属于指定类型的文件,并且解析出指定文件的结构;
(3)将字符组转换为需要匹配的编码,将字符组中的多个字符转换成指定的不同编码格式;
(4)将编码转换为正则式,将上述转换后的编码字符转换为特定的十六进制正则式;
(5)根据文件系统或文件类型进行正则递归扫描,通过正则式对文件系统或文件解析后的区域进行扫描;
(6)判断是否存在删除区域并正则扫描删除区域,若指定了获取删除数据且数据结构中存在删除区域,则对解析出的删除区域进行正则扫描;
(7)按照组装方式,组装递归的字符组产生的结果,对正则式扫描得出的结果进行修正拼接产生分析结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510728110.4A CN105357383B (zh) | 2015-11-02 | 2015-11-02 | 一种高效分析智能手机底层数据的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510728110.4A CN105357383B (zh) | 2015-11-02 | 2015-11-02 | 一种高效分析智能手机底层数据的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105357383A CN105357383A (zh) | 2016-02-24 |
| CN105357383B true CN105357383B (zh) | 2019-01-25 |
Family
ID=55333239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510728110.4A Active CN105357383B (zh) | 2015-11-02 | 2015-11-02 | 一种高效分析智能手机底层数据的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105357383B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369276A (zh) * | 2008-09-28 | 2009-02-18 | 杭州电子科技大学 | 一种Web浏览器缓存数据的取证方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101770470B (zh) * | 2008-12-31 | 2012-11-28 | 中国银联股份有限公司 | 一种文件类型识别分析方法及系统 |
| CN104090924B (zh) * | 2014-06-20 | 2018-05-04 | 北京奇虎科技有限公司 | 一种隐私数据的清理方法和装置 |
| CN104331257A (zh) * | 2014-11-27 | 2015-02-04 | 四川秘无痕信息安全技术有限责任公司 | 一种通过扫描关键字清除安卓手机碎片数据的方法 |
| CN104951515B (zh) * | 2015-05-29 | 2019-01-25 | 四川效率源信息安全技术股份有限公司 | 一种提取并分析Android手机行踪轨迹信息的方法 |
-
2015
- 2015-11-02 CN CN201510728110.4A patent/CN105357383B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369276A (zh) * | 2008-09-28 | 2009-02-18 | 杭州电子科技大学 | 一种Web浏览器缓存数据的取证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105357383A (zh) | 2016-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104133822B (zh) | 一种对存储器上的文件进行扫描的方法及装置 | |
| CN106611044B (zh) | 一种sql优化方法及设备 | |
| US8645344B2 (en) | Document processing system and method therefor | |
| CN104090922B (zh) | 一种清理隐私数据的方法和装置 | |
| WO2014110940A1 (en) | A method, apparatus and system for storing, reading the directory index | |
| CN102841886A (zh) | 拆分文档的方法和装置 | |
| CN106803032A (zh) | 实现网站指纹登录的方法、装置和客户端设备 | |
| CN104765849A (zh) | 一种获取拷贝数据来源信息的方法和系统 | |
| CN108509199A (zh) | 自动生成中文注释的方法、装置、设备及存储介质 | |
| CN105512276B (zh) | 一种构建垃圾文件的方法、装置及电子设备 | |
| CN105868284A (zh) | 一种企业通讯录的部署方法及系统 | |
| Milo et al. | React: Context-sensitive recommendations for data analysis | |
| KR101287371B1 (ko) | 웹 컨텐츠 수집방법 및 수집장치, 그 기록매체 | |
| EP1965310A1 (en) | Document processing method | |
| CN110531971A (zh) | 访问代码自动生成方法、装置、计算机设备及存储介质 | |
| CN114065719A (zh) | 文档处理方法及其装置、电子设备、计算机可读存储介质 | |
| CN102193789B (zh) | 一种实现可配置跳转链接的方法和设备 | |
| CN111176901B (zh) | 一种hdfs删除文件恢复方法、终端设备及存储介质 | |
| CN105357383B (zh) | 一种高效分析智能手机底层数据的方法 | |
| CN106909542A (zh) | 在终端设备上进行信息擦除的方法及装置 | |
| KR100840844B1 (ko) | 사용자 단말에 저장되어 있는 개인 정보를 검색하는 시스템및 그 개인 정보 검색 방법 | |
| CN111339042A (zh) | 数据的操作处理方法、系统及调度服务器 | |
| CN103841253A (zh) | 一种添加联系人的方法和终端 | |
| CN102307259A (zh) | 基于移动终端应用的内容处理方法及移动终端 | |
| CN106503197B (zh) | 一种提取Android系统百度地图基站数据的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |