專利名稱:一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到司法取證領(lǐng)域,特別是手機(jī)司法取證領(lǐng)域,具體涉及到一種針對手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法�。
背景技術(shù):
隨著移動通信技術(shù)所提供服務(wù)水平和服務(wù)種類的不斷提高和擴(kuò)充,手機(jī)已日益成為人們工作生活中不可或缺的聯(lián)系工具�。然而與此同時,利用手機(jī)進(jìn)行詐騙�、誹謗和偽造等犯罪活動也屢見不鮮。手機(jī)取證正是打擊這類犯罪的一個有效手段�����。手機(jī)取證就是從手機(jī) SIM卡��、手機(jī)內(nèi)存�、手機(jī)外置存儲卡以及移動網(wǎng)絡(luò)運(yùn)營商數(shù)據(jù)庫中收集、保全和分析相關(guān)的電子證據(jù)���,并最終從中獲得具有法律效力���、能被法庭所接受的證據(jù)的過程。目前牽涉到手機(jī)的犯罪行為大致有三種�;一是在犯罪行為的實(shí)施過程中使用手機(jī)來充當(dāng)通信聯(lián)絡(luò)工具;二是手機(jī)被用作一種犯罪證據(jù)的存儲媒質(zhì)��;最后一種方式是手機(jī)被當(dāng)作短信詐騙����、短信騷擾和病毒軟件傳播等新型手機(jī)犯罪活動的實(shí)施工具��。這些都充分地表明進(jìn)行手機(jī)取證技術(shù)的相關(guān)研究對于維持社會穩(wěn)定����、保障人民權(quán)益和打擊犯罪行為具有充分的必要性和極大的迫切性�����。手機(jī)中內(nèi)存芯片一般采用NAND和NOR格式的存儲芯片���,根據(jù)芯片廠商和型號規(guī)格的不同����,存儲為私有的數(shù)據(jù)格式���。目前對手機(jī)內(nèi)存中的個人數(shù)據(jù)一般采用特征搜索的方式進(jìn)行分析����,這種方式由于沒有重組成標(biāo)準(zhǔn)的文件系統(tǒng)����,也不便于查看及使用第三方磁盤分析工具進(jìn)行再次分析���。通過搜索分析出的數(shù)據(jù)不能區(qū)分是正常的記錄還是已經(jīng)刪除的記錄��,也不能區(qū)分文件系統(tǒng)中的文件內(nèi)容�。綜上所述,針對現(xiàn)有技術(shù)的缺陷�,特別需要一種針對手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法,以解決現(xiàn)有技術(shù)的不足�。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法,根據(jù)不同芯片的特征產(chǎn)生不同的手機(jī)內(nèi)存鏡像映射表��,映射表反映了文件系統(tǒng)中塊和扇區(qū)在手機(jī)芯片存儲區(qū)中的偏移信息���,按映射表中的提供的映射信息重新還原成一個標(biāo)準(zhǔn)的文件系統(tǒng)結(jié)構(gòu)��,從而實(shí)現(xiàn)本發(fā)明的目的���。本發(fā)明所解決的技術(shù)問題可以采用以下技術(shù)方案來實(shí)現(xiàn)—種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法,其特征在于���,所述方法包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲芯片的存儲格式�����、存儲類型和特征�����;2)根據(jù)存儲芯片的存儲格式和特征分離出代碼區(qū)和存儲區(qū)����;3)根據(jù)存儲芯片的存儲類型和特征,把存儲區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū)�;4)根據(jù)管理區(qū)的特征,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表��;5)通過映射表將數(shù)據(jù)區(qū)重新組合�,還原成一個標(biāo)準(zhǔn)的文件系統(tǒng)格式。
在本發(fā)明的一個實(shí)施例中����,所述存儲芯片中的存儲格式由NAND格式或NOR格式中的一種或幾種組成。在本發(fā)明的一個實(shí)施例中����,所述方法先分析鏡像文件的結(jié)構(gòu),再重組成標(biāo)準(zhǔn)文件系統(tǒng)��。本發(fā)明的有益效果在于能夠通過重新組合��,把手機(jī)內(nèi)存芯片鏡像還原成標(biāo)準(zhǔn)的文件系統(tǒng),更易于進(jìn)行進(jìn)一步的數(shù)據(jù)挖掘�����。能夠更好的提取手機(jī)內(nèi)存中的存儲的信息�,且更好的區(qū)分現(xiàn)有記錄還是已經(jīng)刪除的記錄�����。
具體實(shí)施例方式為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段��、創(chuàng)作特征�、達(dá)成目的與功效易于明白了解,下面結(jié)合具體圖示��,進(jìn)一步闡述本發(fā)明�。一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法,根據(jù)不同芯片的特征產(chǎn)生不同的手機(jī)內(nèi)存鏡像映射表����,映射表反映了文件系統(tǒng)中塊和扇區(qū)在手機(jī)芯片存儲區(qū)中的偏移信息,按映射表中的提供的映射信息重新還原成一個標(biāo)準(zhǔn)的文件系統(tǒng)結(jié)構(gòu)��,具體包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲芯片的存儲格式�����、存儲類型和特征;2)根據(jù)存儲芯片的存儲格式和特征分離出代碼區(qū)和存儲區(qū)���;3)根據(jù)存儲芯片的存儲類型和特征��,把存儲區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū)��;4)根據(jù)管理區(qū)的特征���,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表;5)通過映射表將數(shù)據(jù)區(qū)重新組合�����,還原成一個標(biāo)準(zhǔn)的文件系統(tǒng)格式�。下面以聯(lián)想i908為例,具體說明1.分析NAND芯片“典型”NAND鏡像����,此處用聯(lián)想i908鏡像做分析鏡像大小為66M。NAND和NOR芯片的組成都分為管理區(qū)和數(shù)據(jù)區(qū)�����。數(shù)據(jù)區(qū)是實(shí)際的數(shù)據(jù),通常單位是512字節(jié)/扇區(qū)���。手機(jī)基本上采用標(biāo)準(zhǔn)的FAT32文件系統(tǒng)�。因此����,管理區(qū)就管理如何將扇區(qū)中的數(shù)據(jù)映射到文件系統(tǒng)。一般的NAND芯片的每個管理區(qū)是16字節(jié)����,管理一個扇區(qū)�,即512字節(jié)的實(shí)際數(shù)據(jù)。較為常見和通用的排布方式是每個512個字節(jié)的扇區(qū)后跟16字節(jié)的管理區(qū)�����。管理區(qū)中描述該扇區(qū)是否有效�����,校驗(yàn)位�,以及實(shí)際映射到FAT文件系統(tǒng)中的位置。在沒有重組之前, 扇區(qū)的順序和文件系統(tǒng)布局都是混亂的����。在進(jìn)行具體的分析之前,首先要找到鏡像中數(shù)據(jù)區(qū)和管理區(qū)的位置�。一般而言 NAND芯片的數(shù)據(jù)區(qū)和管理區(qū)是放在一起的,而且大部分都在鏡像的后半部分��,而前半部分則是一些代碼區(qū)����。有一個比較通用的查找數(shù)據(jù)區(qū)的方法,就是首先找到鏡像前半部分中第一個“.BIN��,�,標(biāo)記,隨后查找· BIN標(biāo)記后第一個01標(biāo)記那么�����,在�,01,標(biāo)記后偏移OxOA的位置的4個字節(jié)�,就是數(shù)據(jù)區(qū)在整個鏡像的偏移位置,緊接著4個字節(jié)就是數(shù)據(jù)區(qū)的大小�, 這4個字節(jié)采用小端字節(jié)序存儲�。這里要注意的是偏移量和大小僅僅代表純數(shù)據(jù)區(qū)的位置��,由于有管理區(qū)的存在����,因此,每512字節(jié)有16字節(jié)管理區(qū)�,算下來0x02000000的位置,實(shí)際偏移量應(yīng)該是 0x02100000����,而大小也包括了交錯的管理區(qū),應(yīng)該是0x02100000��。(即整個鏡像大小的一
4半�����,32M+1M)先看最后16字節(jié)的管理區(qū)��。其中�,偏移量為4的0x88表示該扇區(qū)是有效扇區(qū)�����, 而最后4個字節(jié)0x00000000表示該扇區(qū)在FAT文件系統(tǒng)中的位置是首個位置?��?梢詮纳厦?12字節(jié)末0x55AA來粗略驗(yàn)證它是一個FAT的數(shù)據(jù)頭�,其余字節(jié)的實(shí)際作用待驗(yàn)證�����。然后依次類推���,512+16,512+16...這樣可以重組成一個FAT文件系統(tǒng)�。2.重組成標(biāo)準(zhǔn)文件系統(tǒng)由于MTK采用的是NAND或NOR芯片(或者一塊NAND —塊NOR)�,他們在重組成FAT 文件系統(tǒng)時,最小的數(shù)據(jù)單位是512字節(jié)的數(shù)據(jù)扇區(qū)��。因此��,存在原始鏡像中的指定數(shù)據(jù)扇區(qū)與FAT系統(tǒng)中的某個數(shù)據(jù)扇區(qū)一對一的關(guān)系����,并且可以制作一張映射表。由于是一對一的關(guān)系�����,為了節(jié)約空間,采取了順序存儲的方式�,即省略了目的FAT 鏡像扇區(qū)號的索引,改為默認(rèn)從0開始�,遞增,類似數(shù)組的方式排布�����。開始的64字節(jié)是一個定義好的結(jié)構(gòu)體��,定義如下
typedef struct tagReconHeader
{
charszSymbol[8]����;
DWORDdwVersion;
DWORDdwSizeOfStruct;
DWORDdwCryptFlag;
DWORDdwStartOffset;
UL0NGL0NG qwContentSize; BYTEcbPadding[32]����;
} REC0NHEADER,氺LPRECONHEADER正文起始地址即0x00000040,從這里開始���,每8個字節(jié)表示新FAT文件系統(tǒng)的對應(yīng)
索引的扇區(qū)在原始鏡像中的位置。比如0x00000040-0x00000047 8個字節(jié)表示第0個扇區(qū)在原始鏡像中地址是 0x00000000E3FE00, (Little Endian)0x0x00000048-0x0000004F 8個字節(jié)表示第1個扇區(qū)在原始鏡像中地址是 0x00000000E3FC00����。以此類推�。這樣在后續(xù)的處理中會對此映射表進(jìn)行處理��,按扇區(qū)位置重組出標(biāo)準(zhǔn)的文件系統(tǒng)���。以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)�。本行業(yè)的技術(shù)人員應(yīng)該了解�,本發(fā)明不受上述實(shí)施例的限制,上述實(shí)施例和說明書中描述的只是說明本發(fā)明的原理���,在不脫離本發(fā)明精神和范圍的前提下�,本發(fā)明還會有各種變化和改進(jìn)����,這些變化和改進(jìn)都在要求保護(hù)的本發(fā)明范圍內(nèi),本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定�。
/*目前始終為"PSM.MTK" */ /*版本號*/ /*本結(jié)構(gòu)體大小*/ /*加密標(biāo)志*/ /*正文起始*/ /*正文長度*/ /*填充字節(jié)*/
權(quán)利要求
1.一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法,其特征在于���,所述方法包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲芯片的存儲格式�����、存儲類型和特征�;2)根據(jù)存儲芯片的存儲格式和特征分離出代碼區(qū)和存儲區(qū);3)根據(jù)存儲芯片的存儲類型和特征�,把存儲區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū);4)根據(jù)管理區(qū)的特征���,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表���;5)通過映射表將數(shù)據(jù)區(qū)重新組合,還原成一個標(biāo)準(zhǔn)的文件系統(tǒng)格式�����。
2.如權(quán)利要求1所述的一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法��,其特征在于�,所述存儲芯片中的存儲格式由NAND格式或NOR格式中的一種或幾種組成。
3.如權(quán)利要求1所述的一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法����,其特征在于,所述方法先分析鏡像文件的結(jié)構(gòu)�����,再重組成標(biāo)準(zhǔn)文件系統(tǒng)���。
全文摘要
本發(fā)明公開了一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法�����,根據(jù)不同芯片的特征產(chǎn)生不同的手機(jī)內(nèi)存鏡像映射表��,映射表反映了文件系統(tǒng)中塊和扇區(qū)在手機(jī)芯片存儲區(qū)中的偏移信息�,按映射表中的提供的映射信息重新還原成一個標(biāo)準(zhǔn)的文件系統(tǒng)結(jié)構(gòu)���,具體包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲芯片的存儲格式�����、存儲類型和特征��;2)根據(jù)存儲芯片的存儲格式和特征分離出代碼區(qū)和存儲區(qū)�;3)根據(jù)存儲芯片的存儲類型和特征��,把存儲區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū)����;4)根據(jù)管理區(qū)的特征,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表��;5)通過映射表將數(shù)據(jù)區(qū)重新組合,還原成一個標(biāo)準(zhǔn)的文件系統(tǒng)格式�。
文檔編號G06F17/30GK102254032SQ20111022303
公開日2011年11月23日 申請日期2011年8月4日 優(yōu)先權(quán)日2011年8月4日
發(fā)明者李建新, 陸道宏 申請人:盤石軟件(上海)有限公司