[发明专利]一种基于JFFS2文件系统的文件增删改痕迹分析方法及系统

权利要求书

1.一种基于JFFS2文件系统的文件增删改痕迹分析方法，其特征在于，包括以下步骤：

S1：提取JFFS2文件系统中的一个文件信息节点，根据所述文件信息节点的文件唯一标识ID提取具有与所述文件唯一标识ID相同的所属文件ID的数据节点，将所有所述数据节点组成集合SD；

所述步骤S1中提取JFFS2文件系统中的一个文件信息节点，具体包括：

获取JFFS2文件系统的所有文件信息节点并组成集合FL＝{F1,F2,F3,...,FN}，依次提取所述集合FL中的文件信息节点，其中F1,F2,F3,...,FN表示各文件信息节点；

S2：提取所述集合SD中的一个数据节点记为数据节点D_N；

所述步骤S2的具体步骤包括：

对所述集合SD中的数据节点按照版本号从小到大的顺序进行排序，再根据所述版本号从小到大依次提取数据节点并记为数据节点DN，同时执行所述步骤S3；

S3:根据所述数据节点D_N的文件大小iSize、所属文件数据偏移offset和原始数据解压长度dsize之间的关系判断所述文件信息节点中文件名所指向的文件的增加、删除和修改状态；当所述集合FL中的文件信息节点都被提取过，JFFS2文件系统中文件的增加、删除和修改状态分析完成；

所述步骤S3具体包括：

提取所述数据节点DN的时间、文件大小iSize、所属文件数据偏移offset和原始数据解压长度dsize：

当iSize＝offset+dsize且offset及dsize值非零时，表示所述文件信息节点中文件名所指向的文件在所述时间内有内容的新增；

当iSizeoffset+dsize且offset及dsize值非零时，表示所述文件信息节点中文件名所指向的文件在所述时间内有内容的修改；

当iSize、offset及dsize值都为零时，表示所述文件信息节点中文件名所指向的文件在所述时间内有内容被删除。

2.根据权利要求1所述的方法，其特征在于，所述文件唯一标识ID由所述文件信息节点中的节点编号ino表示。

3.根据权利要求1所述的方法，其特征在于，所述所属文件ID由所述数据节点中的所属文件数据编号ino表示。

4.根据权利要求3所述的方法，其特征在于，所述排序针对具有相同创建时间的数据节点分别进行排序。

5.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被计算机处理器执行时实施权利要求1至4中任一项所述的方法。

6.一种基于JFFS2文件系统的文件增删改痕迹分析系统，其特征在于，包括：

文件ID关联单元：配置用于提取JFFS2文件系统中的一个文件信息节点，根据所述文件信息节点的文件唯一标识ID提取具有与所述文件唯一标识ID相同的所属文件ID的数据节点，将所有所述数据节点组成集合SD；所述提取JFFS2文件系统中的一个文件信息节点，具体包括：获取JFFS2文件系统的所有文件信息节点并组成集合FL＝{F1,F2,F3,...,FN}，依次提取所述集合FL中的文件信息节点，其中F1,F2,F3,...,FN表示各文件信息节点；

数据节点提取单元：配置用于提取所述集合SD中的一个数据节点记为数据节点D_N；具体包括：对所述集合SD中的数据节点按照版本号从小到大的顺序进行排序，再根据所述版本号从小到大依次提取数据节点并记为数据节点DN，同时执行所述步骤S3；

文件增删改痕迹分析单元:配置用于根据所述数据节点D_N的文件大小iSize、所属文件数据偏移offset和原始数据解压长度dsize之间的关系判断所述文件信息节点中文件名所指向的文件的增加、删除和修改状态；具体包括：提取所述数据节点DN的时间、文件大小iSize、所属文件数据偏移offset和原始数据解压长度dsize：当iSize＝offset+dsize且offset及dsize值非零时，表示所述文件信息节点中文件名所指向的文件在所述时间内有内容的新增；当iSizeoffset+dsize且offset及dsize值非零时，表示所述文件信息节点中文件名所指向的文件在所述时间内有内容的修改；当iSize、offset及dsize值都为零时，表示所述文件信息节点中文件名所指向的文件在所述时间内有内容被删除。