(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(10)申请公布号 CN 103064764 A
(43)申请公布日 2013.04.24
(21)申请号 CN201210585940.2
(22)申请日 2012.12.28
(71)申请人 盘石软件(上海)有限公司
    地址 200333 上海市普陀区中江路879号19号楼4楼
(72)发明人 李建新 李毅
(74)专利代理机构 上海天翔知识产权代理有限公司
    代理人 孙景宜
(51)Int.CI
      G06F11/14
      H04M1/725
                                                                  权利要求说明书 说明书 幅图
(54)发明名称
      一种快速恢复安卓手机删除信息的取证方法
(57)摘要
      本发明公开了一种快速恢复安卓手机删除信息的取证方法,它首先提取出手机中的用户数据文件的可直接查看信息,然后根据该可直接查看信息获取数据库表结构的存储特征,并进一步分离出数据库中的未使用空间;再在未使用空间中尝试匹配正常记录的特征,并对匹配到的数据进行验证,获取已经删除的记录,然后结合该记录的字段长度定义,将其后的数据进行分割,以还原其各主要字段的内容,最后将还原出来的数据与正常记录进行对比,通过逻辑判断后添加到记录列表中;继续匹配未使用空间中,直到所有的未使用空间都处理完毕。本发明的有益效果在于:恢复快速、使用便捷,可靠性强。
法律状态
正则匹配快代理
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种快速恢复安卓手机删除信息的取证方法,其特征在于,所述方法包括如下步骤:
1)首先使用安卓SDK中提供的调试开发工具Android Debug Bridge中提供的pull命令提取手机中的用户数据文件,并对其进行进一步分析,获取用户数据文件中的可直接查看信息;
2)通过API读取可直接查看信息中的数据内容,然后通过对比验证来确定数据内容中各字段的具体含义,重新组合后得到手机上的可见数据,同时也得到数据库表结构的存储特征;
3)通过数据库表结构的存储特征分离出数据库中的未使用空间;
4)通过分析安卓手机中正常记录的存储结构提取出正常记录的特征,然后通过正则表达式在未使用空间中尝
试匹配该特征,并对匹配到的数据进行验证;如果其结构和正常记录相符合,则认为这是一条已经删除的记录,然后结合该记录的字段长度定义,将其后的数据进行分割,以还原其各主要字段的内容;
5)将还原出来的数据与通过API解析的正常记录进行对比,如果关键信息完全相同,则认为这是一条逻辑上已存在或已经有相同的记录被恢复出来的冗余数据,不添加到记录列表中;如果关键信息不相同,则添加到记录列表中;
6)继续匹配未使用空间中,直到所有的未使用空间都处理完毕。
2.根据权利要求1所述的一种快速恢复安卓手机删除信息的取证方法,其特征在于,所述步骤1)进一步包括一种获取root权限的方法,该方法为直接通过adb root提升外部的root权限;如果adb root提示无法提升到root权限,则通过一个临时root的脚本来提升到root用户的权限。
3.根据权利要求1所述的一种快速恢复安卓手机删除信息的取证方法,其特征在于,所述步骤5)中,将还原出来的数据添加到记录列表中的同时将该数据标记为已删除,表明这是一条被恢复出来的记录。
4.根据权利要求1所述的一种快速恢复安卓手机删除信息的取证方法,其特征在于,所述用户数据文件为SQLite3数据库格式,通过API能正常的读取其中的数据内容。
5.根据权利要求1所述的一种快速恢复安卓手机删除信息的取证方法,其特征在于,所述调试开发工具Android Debug Bridge通过应用程序调试接口连接手机。
说  明  书
<p>技术领域
本发明涉及移动设备信息处理及删除信息恢复领域,具体地说,特别涉及到一种快速恢复安卓手机删除信息的取证方法。
背景技术
手机取证的方式方法目前在不断的更新和改进,最初只是对手机中的基本信息(如联系人,通话记录和短消息等)进行简单的提取和固定。后来随着智能手机的出现,手机取证也包含了对应用程序数据(如即时通讯工具,社交网络工具,定位导航工具等)进行提取、固定和关联分析等。
司法人员在调查或取证过程中,不仅需要提取手机上当前存在的信息,还对嫌疑人已经删除的信息特别关注。现有技术中对安卓手机进行删除恢复的方法有主要是如下两种:
1)第一种方法是通过制作手机的存储介质的镜像文件。
如果使用简单的DD命令或其他镜像软件,由于受手机存储层使用的文件系统的结构限制,则不能获得到完整的文件系统的信息,得到的镜像文件无法重组还原成原来的文件系统。在不能重组还原文件系统的情况下,对具体删除信息的定位难度增加,对删除信息的识别及验证的难度增加,对删除信息与未删除信息进行区分的难度增加。
如果使用复杂的外部工具虽然可以获得完整的镜像文件,但是如果镜像文件不完整或较大,再加上手机存储数据的复杂度影响,往往恢复出来的信息比较凌乱,或掺杂了很多完全无关的信息在里面,恢复的效果一般或很差。
2)第二种方法是对信息存储文件进行定位后使用通用的方式进行处理。
一般智能手机中的个人信息是存储在数据库文件中的,使用数据库查看工具可以查看到存储的表结构及字段信息,但是这些信息为存储而优化,所以在直接查看时,字段之间的关联等需要取证人员自己猜测和验证。而基于数据库存储结构恢复出来的字段信息,同样需要取证人员把这些信息关联起来,对取证人员的数据库专业知识要求较高,且在数据库表较多或表结构较复杂的情况下,准确性和可靠性会非常差。
综上所述,针对现有技术的缺陷,特别需要一种快速恢复安卓手机删除信息的取证方法,以解决以上提到的不足。
发明内容
本发明的目的在于提供一种快速恢复安卓手机删除信息的取证方法,
克服了传统技术中的不足,从而实现本发明的目的。
本发明所解决的技术问题可以采用以下技术方案来实现:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。