专利名称:一种手机内存芯片镜像文件重组成标准文件系统的方法
技术领域:
本发明涉及到司法取证领域,特别是手机司法取证领域,具体涉及到一种针对手机内存芯片镜像文件重组成标准文件系统的方法。
背景技术:
随着移动通信技术所提供服务水平和服务种类的不断提高和扩充,手机已日益成为人们工作生活中不可或缺的联系工具。然而与此同时,利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜。手机取证正是打击这类犯罪的一个有效手段。手机取证就是从手机 SIM卡、手机内存、手机外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。目前牵涉到手机的犯罪行为大致有三种;一是在犯罪行为的实施过程中使用手机来充当通信联络工具;二是手机被用作一种犯罪证据的存储媒质;最后一种方式是手机被当作短信诈骗、短信騷扰和病毒软件传播等新型手机犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究对于维持社会稳定、保障人民权益和打击犯罪行为具有充分的必要性和极大的迫切性。手机中内存芯片一般采用NAND和NOR格式的存储芯片,根据芯片厂商和型号规格的不同,存储为私有的数据格式。目前对手机内存中的个人数据一般采用特征搜索的方式进行分析,这种方式由于没有重组成标准的文件系统,也不便于查看及使用第三方磁盘分析工具进行再次分析。通过搜索分析出的数据不能区分是正常的记录还是已经删除的记录,也不能区分文件系统中的文件内容。综上所述,针对现有技术的缺陷,特别需要一种针对手机内存芯片镜像文件重组成标准文件系统的方法,以解决现有技术的不足。
发明内容
本发明的目的是提供一种手机内存芯片镜像文件重组成标准文件系统的方法,根据不同芯片的特征产生不同的手机内存镜像映射表,映射表反映了文件系统中块和扇区在手机芯片存储区中的偏移信息,按映射表中的提供的映射信息重新还原成一个标准的文件系统结构,从而实现本发明的目的。本发明所解决的技术问题可以采用以下技术方案来实现—种手机内存芯片镜像文件重组成标准文件系统的方法,其特征在于,所述方法包括如下步骤1)确认手机内存存储芯片的存储格式、存储类型和特征;2)根据存储芯片的存储格式和特征分离出代码区和存储区;3)根据存储芯片的存储类型和特征,把存储区再分离成管理区和数据区;4)根据管理区的特征,产生一张数据区到实际文件系统结构的映射表;5)通过映射表将数据区重新组合,还原成一个标准的文件系统格式。
在本发明的一个实施例中,所述存储芯片中的存储格式由NAND格式或NOR格式中的一种或几种组成。在本发明的一个实施例中,所述方法先分析镜像文件的结构,再重组成标准文件系统。本发明的有益效果在于能够通过重新组合,把手机内存芯片镜像还原成标准的文件系统,更易于进行进一步的数据挖掘。能够更好的提取手机内存中的存储的信息,且更好的区分现有记录还是已经删除的记录。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。一种手机内存芯片镜像文件重组成标准文件系统的方法,根据不同芯片的特征产生不同的手机内存镜像映射表,映射表反映了文件系统中块和扇区在手机芯片存储区中的偏移信息,按映射表中的提供的映射信息重新还原成一个标准的文件系统结构,具体包括如下步骤1)确认手机内存存储芯片的存储格式、存储类型和特征;2)根据存储芯片的存储格式和特征分离出代码区和存储区;3)根据存储芯片的存储类型和特征,把存储区再分离成管理区和数据区;4)根据管理区的特征,产生一张数据区到实际文件系统结构的映射表;5)通过映射表将数据区重新组合,还原成一个标准的文件系统格式。下面以联想i908为例,具体说明1.分析NAND芯片“典型”NAND镜像,此处用联想i908镜像做分析镜像大小为66M。NAND和NOR芯片的组成都分为管理区和数据区。数据区是实际的数据,通常单位是512字节/扇区。手机基本上采用标准的FAT32文件系统。因此,管理区就管理如何将扇区中的数据映射到文件系统。一般的NAND芯片的每个管理区是16字节,管理一个扇区,即512字节的实际数据。较为常见和通用的排布方式是每个512个字节的扇区后跟16字节的管理区。管理区中描述该扇区是否有效,校验位,以及实际映射到FAT文件系统中的位置。在没有重组之前, 扇区的顺序和文件系统布局都是混乱的。在进行具体的分析之前,首先要找到镜像中数据区和管理区的位置。一般而言 NAND芯片的数据区和管理区是放在一起的,而且大部分都在镜像的后半部分,而前半部分则是一些代码区。有一个比较通用的查找数据区的方法,就是首先找到镜像前半部分中第一个“.BIN,,标记,随后查找· BIN标记后第一个01标记那么,在,01,标记后偏移OxOA的位置的4个字节,就是数据区在整个镜像的偏移位置,紧接着4个字节就是数据区的大小, 这4个字节采用小端字节序存储。这里要注意的是偏移量和大小仅仅代表纯数据区的位置,由于有管理区的存在,因此,每512字节有16字节管理区,算下来0x02000000的位置,实际偏移量应该是 0x02100000,而大小也包括了交错的管理区,应该是0x02100000。(即整个镜像大小的一
4半,32M+1M)先看最后16字节的管理区。其中,偏移量为4的0x88表示该扇区是有效扇区, 而最后4个字节0x00000000表示该扇区在FAT文件系统中的位置是首个位置。可以从上面512字节末0x55AA来粗略验证它是一个FAT的数据头,其余字节的实际作用待验证。然后依次类推,512+16,512+16...这样可以重组成一个FAT文件系统。2.重组成标准文件系统由于MTK采用的是NAND或NOR芯片(或者一块NAND —块NOR),他们在重组成FAT 文件系统时,最小的数据单位是512字节的数据扇区。因此,存在原始镜像中的指定数据扇区与FAT系统中的某个数据扇区一对一的关系,并且可以制作一张映射表。由于是一对一的关系,为了节约空间,采取了顺序存储的方式,即省略了目的FAT 镜像扇区号的索引,改为默认从0开始,递增,类似数组的方式排布。开始的64字节是一个定义好的结构体,定义如下
typedef struct tagReconHeader
{
charszSymbol[8];
DWORDdwVersion;
DWORDdwSizeOfStruct;
DWORDdwCryptFlag;
DWORDdwStartOffset;
UL0NGL0NG qwContentSize; BYTEcbPadding[32];
} REC0NHEADER,氺LPRECONHEADER正文起始地址即0x00000040,从这里开始,每8个字节表示新FAT文件系统的对应
索引的扇区在原始镜像中的位置。比如0x00000040-0x00000047 8个字节表示第0个扇区在原始镜像中地址是 0x00000000E3FE00, (Little Endian)0x0x00000048-0x0000004F 8个字节表示第1个扇区在原始镜像中地址是 0x00000000E3FC00。以此类推。这样在后续的处理中会对此映射表进行处理,按扇区位置重组出标准的文件系统。以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都在要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。
/*目前始终为"PSM.MTK" */ /*版本号*/ /*本结构体大小*/ /*加密标志*/ /*正文起始*/ /*正文长度*/ /*填充字节*/
权利要求
1.一种手机内存芯片镜像文件重组成标准文件系统的方法,其特征在于,所述方法包括如下步骤1)确认手机内存存储芯片的存储格式、存储类型和特征;2)根据存储芯片的存储格式和特征分离出代码区和存储区;3)根据存储芯片的存储类型和特征,把存储区再分离成管理区和数据区;4)根据管理区的特征,产生一张数据区到实际文件系统结构的映射表;5)通过映射表将数据区重新组合,还原成一个标准的文件系统格式。
2.如权利要求1所述的一种手机内存芯片镜像文件重组成标准文件系统的方法,其特征在于,所述存储芯片中的存储格式由NAND格式或NOR格式中的一种或几种组成。
3.如权利要求1所述的一种手机内存芯片镜像文件重组成标准文件系统的方法,其特征在于,所述方法先分析镜像文件的结构,再重组成标准文件系统。
全文摘要
本发明公开了一种手机内存芯片镜像文件重组成标准文件系统的方法,根据不同芯片的特征产生不同的手机内存镜像映射表,映射表反映了文件系统中块和扇区在手机芯片存储区中的偏移信息,按映射表中的提供的映射信息重新还原成一个标准的文件系统结构,具体包括如下步骤1)确认手机内存存储芯片的存储格式、存储类型和特征;2)根据存储芯片的存储格式和特征分离出代码区和存储区;3)根据存储芯片的存储类型和特征,把存储区再分离成管理区和数据区;4)根据管理区的特征,产生一张数据区到实际文件系统结构的映射表;5)通过映射表将数据区重新组合,还原成一个标准的文件系统格式。
文档编号G06F17/30GK102254032SQ20111022303
公开日2011年11月23日 申请日期2011年8月4日 优先权日2011年8月4日
发明者李建新, 陆道宏 申请人:盘石软件(上海)有限公司