本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別涉及一種針對(duì)塞班系統(tǒng)重組數(shù)據(jù)的方法。

背景技術(shù)：

隨著移動(dòng)通信技術(shù)所提供服務(wù)水平和服務(wù)種類的不斷提高和擴(kuò)充，手機(jī)已日益成為人們工作生活中不可或缺的聯(lián)系工具，然而與此同時(shí)，利用手機(jī)進(jìn)行詐騙、誹謗和偽造等犯罪活動(dòng)也屢見不鮮。手機(jī)取證正是打擊這類犯罪的一個(gè)有效手段。從概念上講手機(jī)取證就是從手機(jī)SIM卡手機(jī)內(nèi)/外置存儲(chǔ)卡以及移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商數(shù)據(jù)庫(kù)中收集、保全和分析相關(guān)的電子證據(jù),并最終從中獲得具有法律效力、能被法庭所接受的證據(jù)的過程。目前牽涉到手機(jī)的犯罪行為大致有三種：一是在犯罪行為的實(shí)施過程中使用手機(jī)來(lái)充當(dāng)通信聯(lián)絡(luò)工具；二是手機(jī)被用作一種犯罪證據(jù)的存儲(chǔ)媒質(zhì)；最后一種方式是手機(jī)被當(dāng)作短信詐騙、短信騷擾和病毒軟件傳播等新型手機(jī)犯罪活動(dòng)的實(shí)施工具。這些都充分地表明進(jìn)行手機(jī)取證技術(shù)的相關(guān)研究對(duì)于維持社會(huì)穩(wěn)定、保障人民權(quán)益和打擊犯罪行為具有充分的必要性和極大的迫切性。

但是目前針對(duì)智能在手機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)很成熟，但是針對(duì)塞班系統(tǒng)數(shù)據(jù)提取國(guó)內(nèi)還沒有更好的方法，遇到這樣的手機(jī)就會(huì)使案件陷入僵局，由于塞班系統(tǒng)采用管理字節(jié)和數(shù)據(jù)區(qū)的結(jié)構(gòu)來(lái)存儲(chǔ)手機(jī)數(shù)據(jù)，普通的分析方法根本無(wú)法分析出有用信息，為了解決這類問題，故介紹塞班系統(tǒng)數(shù)據(jù)去重組的方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明針對(duì)現(xiàn)有技術(shù)的缺陷，提供了一種針對(duì)塞班系統(tǒng)重組數(shù)據(jù)的方法，能有效的解決上述現(xiàn)有技術(shù)存在的問題。

一種針對(duì)塞班系統(tǒng)重組數(shù)據(jù)的方法，包括以下步驟：

S1：對(duì)塞班系統(tǒng)手機(jī)的數(shù)據(jù)進(jìn)行物理鏡像；

S2：判斷鏡像中是否存在數(shù)據(jù)區(qū)；從鏡像頭部開始掃描XSR2，其特征為“0X58535232”，若找到該特征說(shuō)明鏡像中存在數(shù)據(jù)區(qū)，執(zhí)行S3，否則結(jié)束；

S3：分析數(shù)據(jù)區(qū)結(jié)構(gòu)，并將數(shù)據(jù)區(qū)中的塊排序；

S4：分析每個(gè)塊中的數(shù)據(jù)結(jié)構(gòu)，并將塊內(nèi)數(shù)據(jù)排序；

S5：將重新排序的塊內(nèi)數(shù)據(jù)重組并提取，恢復(fù)出正常數(shù)據(jù)。

作為優(yōu)選，S3的詳細(xì)步驟如下：

S301：從特征“0X58535232”繼續(xù)向下掃描下一個(gè)“0X58535232”特征，計(jì)算它們之間的字節(jié)數(shù)，得到塊大小；

S302：按照塊大小從特征“0X58535232”向下跳轉(zhuǎn)并記錄每一個(gè)“0X58535232”，直至沒有特征或者到達(dá)鏡像尾部；

S303：找到每個(gè)塊的邏輯順序編號(hào)，特征“0X58535232”后的四個(gè)字節(jié)記錄塊的順序編號(hào)，記錄所有的編號(hào)；

S304：按照編號(hào)順序?qū)K排列。

作為優(yōu)選，S4的詳細(xì)步驟如下：

S401：從塊頭部偏移0x840；

S402：從偏移位開始向下截取4段大小為“0x200”的數(shù)據(jù)并記錄，這4段數(shù)據(jù)為數(shù)據(jù)區(qū)數(shù)據(jù)；

S403：從402截取的數(shù)據(jù)的尾部開始向下跳轉(zhuǎn)4次，間隔為“0x0F”字節(jié)，并記錄每次跳轉(zhuǎn)位置的格式為0xAABB的標(biāo)記，此標(biāo)記用于記錄S402中4端數(shù)據(jù)的邏輯順序；且順序彼此對(duì)應(yīng)，及第一段數(shù)據(jù)區(qū)數(shù)據(jù)對(duì)應(yīng)第一個(gè)標(biāo)記，以此類推；

S404：將數(shù)據(jù)區(qū)數(shù)據(jù)按照邏輯順序排序。

作為優(yōu)選，S5中所述的重組數(shù)據(jù)區(qū)數(shù)據(jù)只包括了S402中大小為“0x200”的數(shù)據(jù)。

與現(xiàn)有技術(shù)相比本發(fā)明的優(yōu)點(diǎn)在于：可識(shí)別判斷塞班系統(tǒng)數(shù)據(jù)區(qū)是否存在數(shù)據(jù)，完整重組塞班系統(tǒng)的數(shù)據(jù)，重組后的數(shù)據(jù)不會(huì)出現(xiàn)損壞，重組成功率高，幫助警方恢復(fù)手機(jī)數(shù)據(jù)，協(xié)助破案，降低因數(shù)據(jù)丟死帶來(lái)的損失。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下舉實(shí)施例，對(duì)本發(fā)明做進(jìn)一步詳細(xì)說(shuō)明。

如圖1所示，一種針對(duì)塞班系統(tǒng)重組數(shù)據(jù)的方法，包括以下步驟：

S1：對(duì)塞班系統(tǒng)手機(jī)的數(shù)據(jù)進(jìn)行物理鏡像；

S2：判斷鏡像中是否存在數(shù)據(jù)區(qū)；從鏡像頭部開始掃描XSR2，其特征為“0X58535232”，若找到該特征說(shuō)明鏡像中存在數(shù)據(jù)區(qū)，執(zhí)行S3，否則結(jié)束。

S3：分析數(shù)據(jù)區(qū)結(jié)構(gòu)，并將數(shù)據(jù)區(qū)中的塊排序；

S4：分析每個(gè)塊中的數(shù)據(jù)結(jié)構(gòu)，并將塊內(nèi)數(shù)據(jù)排序；

S5：將重新排序的塊內(nèi)數(shù)據(jù)重組并提取，恢復(fù)出正常數(shù)據(jù)。

S3的詳細(xì)步驟如下：

S301：從特征“0X58535232”繼續(xù)向下掃描下一個(gè)“0X58535232”特征，計(jì)算它們之間的字節(jié)數(shù)，得到塊大??；

S302：按照塊大小從特征“0X58535232”向下跳轉(zhuǎn)并記錄每一個(gè)“0X58535232”，直至沒有特征或者到達(dá)鏡像尾部；

S303：找到每個(gè)塊的邏輯順序編號(hào)，特征“0X58535232”后的四個(gè)字節(jié)記錄塊的順序編號(hào)，記錄所有的編號(hào)；

S304：按照編號(hào)順序?qū)K排列，例如：一個(gè)塊編號(hào)為“0x7E”，那么這個(gè)塊前后需要排列的塊編號(hào)分別是“0x7D”“0x7F”。

S4的詳細(xì)步驟如下：

S401：從塊頭部偏移0x840；

S402：從偏移位開始向下截取4段大小為“0x200”的數(shù)據(jù)并記錄，這4段數(shù)據(jù)為數(shù)據(jù)區(qū)數(shù)據(jù)；

S403：從402截取的數(shù)據(jù)的尾部開始向下跳轉(zhuǎn)4次，間隔為“0x0F”字節(jié)，并記錄每次跳轉(zhuǎn)位置的格式為0xAABB的標(biāo)記，此標(biāo)記用于記錄S402中4端數(shù)據(jù)的邏輯順序；且順序彼此對(duì)應(yīng)，及第一段數(shù)據(jù)區(qū)數(shù)據(jù)對(duì)應(yīng)第一個(gè)標(biāo)記，以此類推,如圖2所示；

S404：將數(shù)據(jù)區(qū)數(shù)據(jù)按照邏輯順序排序，例如：S403中找到的標(biāo)記為“0x00FF”“0x03FC”“0x05FA”“0x02FD”，表示數(shù)據(jù)區(qū)數(shù)據(jù)在塊內(nèi)排序應(yīng)該為0號(hào)扇區(qū)、3號(hào)扇區(qū)、5號(hào)扇區(qū)、2號(hào)扇區(qū)。

需要注意的是S5中所述的重組數(shù)據(jù)區(qū)數(shù)據(jù)只包括了S402中大小為“0x200”的數(shù)據(jù)。

本領(lǐng)域的普通技術(shù)人員將會(huì)意識(shí)到，這里所述的實(shí)施例是為了幫助讀者理解本發(fā)明的實(shí)施方法，應(yīng)被理解為本發(fā)明的保護(hù)范圍并不局限于這樣的特別陳述和實(shí)施例。本領(lǐng)域的普通技術(shù)人員可以根據(jù)本發(fā)明公開的這些技術(shù)啟示做出各種不脫離本發(fā)明實(shí)質(zhì)的其它各種具體變形和組合，這些變形和組合仍然在本發(fā)明的保護(hù)范圍內(nèi)。