CN106250272B - 一种针对塞班系统重组数据的方法 - Google Patents
一种针对塞班系统重组数据的方法 Download PDFInfo
- Publication number
- CN106250272B CN106250272B CN201610625807.3A CN201610625807A CN106250272B CN 106250272 B CN106250272 B CN 106250272B CN 201610625807 A CN201610625807 A CN 201610625807A CN 106250272 B CN106250272 B CN 106250272B
- Authority
- CN
- China
- Prior art keywords
- data
- block
- mirror image
- saipan system
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0638—Organizing or formatting or addressing of data
- G06F3/064—Management of blocks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1469—Backup restoration techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0638—Organizing or formatting or addressing of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0646—Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
- G06F3/065—Replication mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种针对塞班系统重组数据的方法,包括以下步骤:S1:对塞班系统手机的数据进行物理镜像;S2:判断镜像中是否存在数据区;从镜像头部开始扫描XSR2,若找到说明镜像中存在数据区,执行S3,否则结束;S3:分析数据区结构,并将数据区中的块排序;S4:分析每个块中的数据结构,并将块内数据排序;S5:将重新排序的块内数据重组并提取,恢复出正常数据。本发明的有益效果如下:可识别判断塞班系统数据区是否存在数据,完整重组塞班系统的数据,重组后的数据不会出现损坏,重组成功率高,帮助警方恢复手机数据,协助破案,降低因数据丢死带来的损失。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种针对塞班系统重组数据的方法。
背景技术
随着移动通信技术所提供服务水平和服务种类的不断提高和扩充,手机已日益成为人们工作生活中不可或缺的联系工具,然而与此同时,利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜。手机取证正是打击这类犯罪的一个有效手段。从概念上讲手机取证就是从手机SIM卡手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。目前牵涉到手机的犯罪行为大致有三种:一是在犯罪行为的实施过程中使用手机来充当通信联络工具;二是手机被用作一种犯罪证据的存储媒质;最后一种方式是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究对于维持社会稳定、保障人民权益和打击犯罪行为具有充分的必要性和极大的迫切性。
但是目前针对智能在手机取证中的数据恢复技术很成熟,但是针对塞班系统数据提取国内还没有更好的方法,遇到这样的手机就会使案件陷入僵局,由于塞班系统采用管理字节和数据区的结构来存储手机数据,普通的分析方法根本无法分析出有用信息,为了解决这类问题,故介绍塞班系统数据去重组的方法。
发明内容
本发明针对现有技术的缺陷,提供了一种针对塞班系统重组数据的方法,能有效的解决上述现有技术存在的问题。
一种针对塞班系统重组数据的方法,包括以下步骤:
S1:对塞班系统手机的数据进行物理镜像;
S2:判断镜像中是否存在数据区;从镜像头部开始扫描XSR2,其特征为“0X58535232”,若找到该特征说明镜像中存在数据区,执行S3,否则结束;
S3:分析数据区结构,并将数据区中的块排序;
S4:分析每个块中的数据结构,并将块内数据排序;
S5:将重新排序的块内数据重组并提取,恢复出正常数据。
作为优选,S3的详细步骤如下:
S301:从特征“0X58535232”继续向下扫描下一个“0X58535232”特征,计算它们之间的字节数,得到块大小;
S302:按照块大小从特征“0X58535232”向下跳转并记录每一个“0X58535232”,直至没有特征或者到达镜像尾部;
S303:找到每个块的逻辑顺序编号,特征“0X58535232”后的四个字节记录块的顺序编号,记录所有的编号;
S304:按照编号顺序将块排列。
作为优选,S4的详细步骤如下:
S401:从块头部偏移0x840;
S402:从偏移位开始向下截取4段大小为“0x200”的数据并记录,这4段数据为数据区数据;
S403:从S402截取的数据的尾部开始向下跳转4次,间隔为“0x0F”字节,并记录每次跳转位置的格式为0xAABB的标记,此标记用于记录S402中4段数据的逻辑顺序;且顺序彼此对应,即第一段数据区数据对应第一个标记,以此类推;
S404:将数据区数据按照逻辑顺序排序。
作为优选,S5中所述的块内数据只包括了S402中大小为“0x200”的数据。
与现有技术相比本发明的优点在于:可识别判断塞班系统数据区是否存在数据,完整重组塞班系统的数据,重组后的数据不会出现损坏,重组成功率高,帮助警方恢复手机数据,协助破案,降低因数据丢死带来的损失。
附图说明
图1为本发明提供方法的主流程图;
图2为本发明实施例中各段数据区数据与各自标记的对应关系的示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下举实施例,对本发明做进一步详细说明。
如图1所示,一种针对塞班系统重组数据的方法,包括以下步骤:
S1:对塞班系统手机的数据进行物理镜像;
S2:判断镜像中是否存在数据区;从镜像头部开始扫描XSR2,其特征为“0X58535232”,若找到该特征说明镜像中存在数据区,执行S3,否则结束。
S3:分析数据区结构,并将数据区中的块排序;
S4:分析每个块中的数据结构,并将块内数据排序;
S5:将重新排序的块内数据重组并提取,恢复出正常数据。
S3的详细步骤如下:
S301:从特征“0X58535232”继续向下扫描下一个“0X58535232”特征,计算它们之间的字节数,得到块大小;
S302:按照块大小从特征“0X58535232”向下跳转并记录每一个“0X58535232”,直至没有特征或者到达镜像尾部;
S303:找到每个块的逻辑顺序编号,特征“0X58535232”后的四个字节记录块的顺序编号,记录所有的编号;
S304:按照编号顺序将块排列,例如:一个块编号为“0x7E”,那么这个块前后需要排列的块编号分别是“0x7D”“0x7F”。
S4的详细步骤如下:
S401:从块头部偏移0x840;
S402:从偏移位开始向下截取4段大小为“0x200”的数据并记录,这4段数据为数据区数据;
S403:从S402截取的数据的尾部开始向下跳转4次,间隔为“0x0F”字节,并记录每次跳转位置的格式为0xAABB的标记,此标记用于记录S402中4段数据的逻辑顺序;且顺序彼此对应,即第一段数据区数据对应第一个标记,以此类推,如图2所示;
S404:将数据区数据按照逻辑顺序排序,例如:S403中找到的标记为“0x00FF”“0x03FC”“0x05FA”“0x02FD”,表示数据区数据在块内排序应该为0号扇区、3号扇区、5号扇区、2号扇区。
需要注意的是S5中所述的块内数据只包括了S402中大小为“0x200”的数据。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (4)
1.一种针对塞班系统重组数据的方法,其特征在于包括以下步骤:
S1:对塞班系统手机的数据进行物理镜像;
S2:判断镜像中是否存在数据区;从镜像头部开始扫描XSR2,其特征为“0X58535232”,若找到该特征说明镜像中存在数据区,执行S3,否则结束;
S3:分析数据区结构,并将数据区中的块排序;
S4:分析每个块中的数据结构,并将块内数据排序;
S5:将重新排序的块内数据重组并提取,恢复出正常数据。
2.根据权利要求1所述的一种针对塞班系统重组数据的方法,其特征在于S3的详细步骤如下:
S301:从特征“0X58535232”继续向下扫描下一个“0X58535232”特征,计算它们之间的字节数,得到块大小;
S302:按照块大小从特征“0X58535232”向下跳转并记录每一个“0X58535232”,直至没有特征或者到达镜像尾部;
S303:找到每个块的逻辑顺序编号,特征“0X58535232”后的四个字节记录块的顺序编号,记录所有的编号;
S304:按照编号顺序将块排列。
3.根据权利要求2所述的一种针对塞班系统重组数据的方法,其特征在于S4的详细步骤如下:
S401:从块头部偏移0x840;
S402:从偏移位开始向下截取4段大小为“0x200”的数据并记录,这4段数据为数据区数据;
S403:从S402截取的数据的尾部开始向下跳转4次,间隔为“0x0F”字节,并记录每次跳转位置的格式为0xAABB的标记,此标记用于记录S402中4段数据的逻辑顺序;且顺序彼此对应,即第一段数据区数据对应第一个标记,以此类推;
S404:将数据区数据按照逻辑顺序排序。
4.根据权利要求3所述的一种针对塞班系统重组数据的方法,其特征在于:S5中所述的块内数据只包括了S402中大小为“0x200”的数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610625807.3A CN106250272B (zh) | 2016-08-02 | 2016-08-02 | 一种针对塞班系统重组数据的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610625807.3A CN106250272B (zh) | 2016-08-02 | 2016-08-02 | 一种针对塞班系统重组数据的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106250272A CN106250272A (zh) | 2016-12-21 |
CN106250272B true CN106250272B (zh) | 2019-06-21 |
Family
ID=57606117
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610625807.3A Active CN106250272B (zh) | 2016-08-02 | 2016-08-02 | 一种针对塞班系统重组数据的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106250272B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105183383A (zh) * | 2015-09-10 | 2015-12-23 | 厦门市美亚柏科信息股份有限公司 | 一种文件系统无关的镜像重组方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH03111937A (ja) * | 1989-09-27 | 1991-05-13 | Hitachi Ltd | エキスパート判断モデル生成方式 |
-
2016
- 2016-08-02 CN CN201610625807.3A patent/CN106250272B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105183383A (zh) * | 2015-09-10 | 2015-12-23 | 厦门市美亚柏科信息股份有限公司 | 一种文件系统无关的镜像重组方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106250272A (zh) | 2016-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109828967A (zh) | 一种伴随关系获取方法、系统、设备、存储介质 | |
CN107305736B (zh) | 一种基于车牌规则和时空可达性的车牌识别智能查错方法和系统 | |
CN111935789B (zh) | Uu接口信令关联方法、装置和存储介质 | |
CN106445736A (zh) | 一种提取并重组mtk62系列手机字库数据的方法 | |
CN106250518A (zh) | 智能搜题方法及装置 | |
CN107454118A (zh) | 验证码获取方法及装置、登录方法及系统 | |
CN107426442A (zh) | 手机全制式信息采集与人脸识别分析比对系统及使用方法 | |
CN107301020A (zh) | 数据管理方法及管理装置 | |
CN114120428A (zh) | 一种图码联侦关联方法、装置、计算机设备及存储介质 | |
CN103888597B (zh) | 一种通信方法、装置及电子设备 | |
CN109168137A (zh) | 异常脱网的识别方法及装置 | |
CN106102082A (zh) | 一种嫌疑号码确定方法、装置、系统 | |
CN110933662B (zh) | 一种基于数据挖掘的时空伴随关系分析方法和系统 | |
CN104156430A (zh) | 一种快速提取安卓手机数据的装置和方法 | |
CN106250272B (zh) | 一种针对塞班系统重组数据的方法 | |
CN102170650B (zh) | 信令或事件的显示系统及其过滤和恢复方法 | |
CN105631283A (zh) | 一种基于生物特征自学习方法及移动终端 | |
CN102438080A (zh) | 一种呼叫详细记录合成方法及装置 | |
CN103761879A (zh) | 一种车辆套牌识别方法及系统 | |
CN102256255A (zh) | 一种基于时间和地理位置冲突的反并卡侦测方法 | |
CN102387255A (zh) | 一种利用智能卡处理第三方扩展业务数据的方法与装置 | |
CN107895487A (zh) | 一种基于大数据进行相似车牌串并的方法 | |
CN108345902B (zh) | 基于事务特征的自学习白名单模型库构建及白名单检测法 | |
CN105352523A (zh) | 智能路线生成方法和装置 | |
CN106446214B (zh) | 一种提取塞班系统通话记录数据的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |