[发明专利]Android系统隐私数据恢复实现方法

摘要

一种移动通信技术领域的Android系统隐私数据恢复实现方法，通过对无法获得文件系统信息的磁盘镜像进行数据块划分，然后依次从数据块中提取出结构特征和语义特征，并进一步筛选出SQLite3文件头数据块和SQLite3页数据块，经分割重组恢复出原始文件。本发明在ext4文件系统journal等文件系统相关信息受损的情况下，通过对隐私数据特征的分析，从非结构化的Android磁盘原始数据中进行数据恢复。

主权项

一种Android系统隐私数据恢复实现方法，其特征在于，通过对无法获得文件系统信息的磁盘镜像进行数据块划分，然后依次从数据块中提取出结构特征和语义特征，并进一步筛选出SQLite3文件头数据块和SQLite3页数据块，经分割和重组恢复出原始文件；该方法具体包括以下步骤：1)通过对原始数据的分析，对原始数据进行数据块的划分；2)根据需要恢复的隐私数据文件，从数据块中提取出用于恢复隐私数据文件的结构特征、语义特征；3)通过上下文无关的结构特征和语义特征，从原始数据块中依次筛选出SQLite3文件头数据块或SQLite3页数据块；4)对步骤3筛选出的数据块进行分割和重组，恢复出原文件；所述的划分包括以下步骤：1.1)在原始数据寻找常见的文件格式头；1.2)以文件头为基准对原始数据进行对齐，以文件头的起始偏移作为一个数据块的起点；1.3)以4KB大小对整个原始数据进行划分，不足4KB的部分作为无法利用的数据块并抛弃；所述的提取包括以下步骤：2.1)根据SQLite3数据库文件的固定格式，利用内建结构特征库，提取出上下文无关的页结构特征，然后利用内建结构库，提取出上下文相关的SQLite3文件结构特征；2.2)根据要具体恢复的隐私数据类型，利用内建结构特征库，提取出上下文无关的数据记录结构特征；所述的筛选包括以下步骤：3.1)比对待检测的数据块是否符合SQLite3文件头的结构，即比对固定偏移处是否为SQLite3文件头的固定字符，通过结构判断的数据块被定义为SQLite3文件头数据块；3.2)当未通过步骤3.1检测的数据块进行下一步检测，判断待检测数据块是否符合SQLite3页的结构，通过遍历数据快以判断其是否为SQLite3的页的结构，当在遍历过程中全部匹配时，判断该数据块为一个SQLite3页数据块；3.3)未通过步骤3.2的数据块则被认为是无用的数据块并抛弃；所述的分割和重组包括以下步骤：4.1)首先根据在原始磁盘镜像中偏移，将筛选出的SQLite3文件头数据块和SQLite页数据块归并为若干个连续的数据块组；4.2)对数据块组进行第一次筛选，选出以SQLite3头数据块起始的数据块组，每一个这样的数据块组对应了原磁盘镜像中的一个SQLite3数据库文件，对每一个这样的数据块组进行完整性判断，完整性判断包括文件大小和文件逻辑结构完整性，当一个数据块组能够同时满足文件大小和文件逻辑结构的完整，则表示该数据块组是一个完整的SQLite3数据库文件，将该文件作为恢复结果保存，否则执行步骤4.3；4.3)对没有能通过大小和逻辑结构完整性检测的以SQLite3头数据块为起始的数据块组进行重组，即根据SQLite3数据库文件的树状结构，对数据块组进行遍历，当遍历到的数据块有缺失时，从其它不以SQLite3数据块为起始的数据块组中挑选页内结构最为相似的数据块组进行连接，连接后若能通过大小和逻辑结构完整性测试，则成功恢复出一个完整的SQLite3数据库文件，将该文件作为恢复结果保存，若连接后未能通过大小和逻辑结构完整性测试，则更换连接的数据块组再次测试，重复这个过程直到成功或者已经没有数据块组可以替换，当没有数据块组可以替换时，表示该数据库文件的恢复失败；所述的数据记录结构特征包括：短信数据库的数据结构、联系人数据库的数据结构、邮件数据库的数据结构、密钥链数据库的数据结构、日历数据库的数据结构和系统设置数据库的数据结构；所述的归并，在原始磁盘镜像中地址相邻的数据块属于同一个数据块组，数据块组内部的数据块的顺序和数据块在原始磁盘镜像中的顺序保持一致；所述的文件大小和文件逻辑结构完整性，包括：文件大小的完整和文件逻辑结构的完整，具体为：在SQLite3文件头中特定偏移处的值描述了整个SQLite3文件的大小，若恢复出的文件大小和对应文件头内描述的文件大小相一致，则表明恢复出的文件大小完整；SQLite3文件内部为树状结构，通过使用开源的SQLite3接口可以使用SQLite3自带的完整性校验功能，该完整性校验功能会从逻辑上判断SQLite3内部结构是否完整，若恢复出的文件能够通过该完整性校验，则认为恢复出的文件在逻辑结构上完整；针对已擦除的数据碎片，即恢复失败的数据库文件和没有被使用的数据块组可进一步选择进行数据抢救，具体为：对于每一个没有恢复成功的数据库文件和没有被使用的数据块组，通过遍历页内部链表的方式，将其中所有数据块中的数据记录提取出来，根据数据记录结构的不同，将这些数据库记录进行分类保存，方便进行人工浏览。