一种解析Coolsand手机信息的方法与流程

本发明属于电子取证领域，涉及手机信息取证，尤其涉及一种解析coolsand手机信息的方法。

背景技术：

随着移动通信技术所提供服务水平和服务种类的不断提高和扩充,手机已日益成为人们工作生活中不可缺少的联系工具。然而,利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜，手机数据恢复与手机取证是打击这类犯罪的一个有效手段。

从概念上讲,手机取证就是从手机sim卡、手机内、外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。目前牵涉到手机的犯罪行为大致有三种:一种是在犯罪行为的实施过程中使用手机来充当通信联络工具；第二种是手机被用作一种犯罪证据的存储媒质；第三种是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究对于维持社会稳定、保障人民权益和打击犯罪行为具有充分的必要性和极大的迫切性。

现有技术中，涉及智能手机的取证较多，但涉及非智能手机取证的技术却很少，例如，对于搭载coolsand的cpu的非智能手机，其cpu为早期产品，加之内部数据结构较为复杂，因此，现有技术中尚未涉及此类手机的取证；另一方面，一些不法分子利用此类非智能手机进行通话和发短信，并在通话和收发短信之后销毁或者更换手机sim卡而只留下coolsand手机，能获取的只有coolsand手机的字库，在尚无有效的解析coolsand手机字库的情况下，给案件的调查和取证带来了种种困难，因此，急需一种解析coolsand手机信息的方法。

技术实现要素：

本发明针对现有技术的不足和上述问题，提出一种解析coolsand手机信息的方法，将coolsand手机字库中存储短信及通话记录的字库划分为多个块，解析各个块中各项信息，达到解析coolsand手机信息的目的，所述方法包括以下步骤:

s1:获取所述coolsand手机的字库；

s2:查找所述字库中信息块的标识0xcefabeba00,并以所述标识0xcefabeba00的首地址0x003c5000为起始地址，向后偏移0x20字节；

s3:以当前位置为起始地址，判断前三个字节的内容是否为0x435357，如果是，执行步骤s4，否则执行步骤s7；

s4:以所述标识0xcefabeba00的首地址0x003c5000为起始地址，在0x1000字节的范围内查找未读短信标识0x010891，如果查找到，执行步骤s6，否则执行步骤s5；

s5:以所述标识的起始地址为开始位置，在0x1000字节的范围内查找已读短信标识0x020891，如果查找到，执行步骤s6，否则执行步骤s7；

s6:解析短信，完成解析后跳转至步骤s10；

s7:以所述标识0xcefabeba00的首地址0x003c5000为起始地址，判断前四个字节的内容是否为0x4e5652414d，如果是，执行步骤s8，否则执行步骤s10；

s8:以所述标识0xcefabeba00的首地址0x003c5000为起始地址，在0x1000字节的范围内查找通话记录标识0x00000081，如果查找到，执行步骤s9，否则执行步骤s10；

s9:解析通话记录；

s10:判断是否完成所述字库的查找，如果是，结束流程，否则执行步骤s2。

作为优选，所述信息块的长度为0x1000字节。

作为优选，所述信息块最多包含8个扇区，每一扇区大小为0x200字节。

作为优选，所述扇区中包含一个信息块管理扇区和一个由全f填充的结束扇区，所述信息块管理扇区和所述结束扇区之间最多包含6个数据扇区，即，第一数据扇区、第二数据扇区、第三数据扇区、第四数据扇区、第五数据扇区及第六数据扇区，其中，至少一个所述数据扇区储存有数据，其余所述数据扇区可以由全f填充为空闲储存区域。

作为优选，所述信息块管理扇区前5字节内容为所述字库中所述信息块的所述标识0xcefabeba00，所述信息块管理扇区第0x34字节至0x43字节的内容以全f填充，第0x44字节至0x53字节的内容为所述第一数据扇区的管理字段，第0x54字节至0x63字节的内容为所述第二数据扇区的管理字段，第0x64字节至0x73字节的内容为所述第三数据扇区的管理字段，第0x74字节至0x83字节的内容为所述第四数据扇区的管理字段，第0x84字节至0x93字节的内容为所述第五数据扇区的管理字段，第0x94字节至0xa3字节的内容为所述第六数据扇区的管理字段，第0xa4字节至0xb3字节的内容为由全f填充的所述结束扇区的管理字段，第0xb4字节至第0x200字节的内容以全f填充。

作为优选，所述数据扇区的所述管理字段前2字节内容为0x00ff，表示所述数据扇区的内容未删除，所述数据扇区的所述管理字段前2字节内容为0x0000，则表示所述数据扇区的内容已被删除。

作为优选，所述步骤s6包括以下步骤:

s601:查找并解析接收方号码:所述未读短信标识/已读短信标识之后连续7字节的内容为接收方号码，所述接收方号码以字节交换的格式存储；

s602:查找并解析发送方号码:所述接收方号码的末字节向后偏移2字节的内容为所述发送方号码信息的长度，所述发送方号码信息的长度后1字节为发送方号码的标识，所述发送方号码的标识后的字节内容为所述发送方号码，其长度为所述发送方号码信息的长度减2，所述发送方号码以字节交换的格式存储；

s603:查找并解析短信收/发时间:所述发送方号码后2字节的内容为所述短信收/发时间的长度0x0008，所述短信收/发时间的长度固定为8字节并以unicode大端格式储存，所述短信收/发时间的长度后8字节的内容为所述短信收/发时间并以unicode大端格式储存，其中，所述8字节由低字节到高字节的内容分别表示年、月、日、时、分、秒及时间结束标识0x23；

s604:查找并解析短信内容:所述时间结束标识0x23后1字节的内容为短信长度，所述短信长度不超过0x88，所述短信长度后的内容为所述短信内容，所述短信内容以unicode小端格式储存。

作为优选，所述步骤s310包括以下步骤:

s901:查找并解析对端号码:所述通话记录标识0x00000081的末字节向后偏移1字节的内容为对端号码的长度，所述对端号码的长度后的内容为所述对端号码，所述对端号码以ascii码的格式存储；

s902:查找并解析所述对端号码在通讯录中所对应的姓名:所述对端号码的起始地址向后偏移0x29字节的内容为所述姓名的长度，所述姓名的长度向后偏移2字节的内容为所述姓名，其长度为所述姓名的长度,以unicode大端格式存储；

s903:查找并解析通话时间及时长:所述姓名的起始地址向后偏移0x20字节的内容为所述通话时间及时长，所述通话时间及时长的长度为0xc，其中，所述0xc长度的字节中，最高位字节的内容为所述通话时长，其单位为秒，所述最高位字节向前偏移5字节的内容为年，所述最高位字节向前偏移7字节的内容为月，所述最高位字节向前偏移8字节的内容为日，所述最高位字节向前偏移9字节的内容为时，所述最高位字节向前偏移10字节的内容为分，所述最高位字节向前偏移11字节的内容为秒。

本发明的有益效果是能够解析coolsand手机的短信及通话记录，填补了现有技术中无法解析coolsand手机字库的技术空缺，解决了无法针对coolsand手机取证的问题，避免了无法获取此类电子证据的盲点。

附图说明

图1为本发明的主流程图；

图2为本发明中信息块管理扇区的数据结构图；

图3为本发明中解析短信的处理流程图；

图4为本发明中解析通话记录的处理流程图；

图5为本发明中短信的数据结构图；

图6为本发明中通话记录的数据结构图。

具体实施方式

下面结合附图和实施例对本发明作进一步阐述。

如图1所示，一种解析coolsand手机信息的方法，包括以下步骤:

s1:获取coolsand手机的字库:coolsand手机的通话记录及短信都存储于其字库中，字库容量包括但不限于4m、8m及16m字节，本实施例中的字库容量为4m字节，即0x3fffff字节，该字库由1024个信息块组成，每个信息块的长度为0x1000字节；

如图2所示，该实施例中，每一信息块的标识均为0xcefabeba00，每一信息块最多包含8个扇区，每一扇区大小为0x200字节；

该实施例中，每一信息块中的扇区中包含一个信息块管理扇区和一个由全f填充的结束扇区，信息块管理扇区和所述结束扇区之间最多包含6个数据扇区，即，第一数据扇区、第二数据扇区、第三数据扇区、第四数据扇区、第五数据扇区及第六数据扇区，其中，至少一个数据扇区储存有数据，其余数据扇区可以由全f填充为空闲储存区域；

如图2所示，该实施例中，信息块管理扇区前5字节内容为字库中信息块的标识0xcefabeba00，信息块管理扇区第0x34字节至0x43字节的内容以全f填充，第0x44字节至0x53字节的内容为第一数据扇区的管理字段，其内容为0x00000900730a000000000000f8f65d8c,第0x54字节至0x63字节的内容为第二数据扇区的管理字段，其内容为0x00000a00ed0900000000000082686859，第0x64字节至0x73字节的内容为第三数据扇区的管理字段，其内容为0x00003a002c0000000000000097632f7f,第0x74字节至0x83字节的内容为第四数据扇区的管理字段，其内容为0x00ff22000400000000000000d55f0d55，第0x84字节至0x93字节的内容为第五数据扇区的管理字段，其内容为0x00ff21000600000000000000f0396fe5，第0x94字节至0xa3字节的内容为第六数据扇区的管理字段，其内容为0x00003a002d00000000000000f364a11c,第0xa4字节至0xb3字节的内容为由全f填充的结束扇区的管理字段，第0xb4字节至第0x200字节的内容以全f填充，即，第0xb4字节至该信息块管理扇区的末字节的内容以全f填充。

如图2和图5所示，该实施例中，第四、第五数据扇区的管理字段前2字节内容为0x00ff，表示该数据扇区的内容未删除，换言之，以本信息块的标识0xcefabeba00的首地址0x003c5000为起始地址，向后偏移4个扇区的长度，即信息块管理扇区、第一、第二、第三数据扇区共4个扇区计0x800字节的长度，所偏移到的地址为0x003c5800；

从0x003c5800到0x003c59ff的地址范围是储存有数据的第四数据扇区的内容，同理，从0x003c5a00到0x003c5bff的地址范围是储存有数据的第五数据扇区的内容；

反之，如图2所示，第一、第二、第三及第六数据扇区的管理字段前2字节内容为0x0000，则表示该数据扇区的内容已被删除。

s2:如图2所示，查找该字库中信息块的标识0xcefabeba00,并以该标识0xcefabeba00的首地址0x003c5000为起始地址，向后偏移0x20字节到地址0x003c5020。

s3:如图2所示，以0x003c5020为起始地址，判断前三个字节的内容是否为0x435357，即，判断该信息块是否为包含短信的信息块，如果是，执行步骤s4，否则执行步骤s7。

s4:以标识0xcefabeba00的首地址0x003c5000为起始地址，在0x1000字节的范围内查找未读短信标识0x010891，如果查找到，执行步骤s6，否则执行步骤s5。

s5:以标识0xcefabeba00的首地址0x003c5000为起始地址，在0x1000字节的范围内查找已读短信标识0x020891，如果查找到，执行步骤s6，否则执行步骤s7。

s6:解析短信，完成解析后跳转至步骤s10，该步骤包含如图3所示的以下步骤：

s601:查找并解析接收方号码:如图5所示，已读短信标识0x020891之后连续7字节的内容为接收方号码0x683108801705f0，以字节交换的格式存储，其中，f为结束位，解析该接收方号码为8613800871500；

s602:查找并解析发送方号码:如图5所示，接收方号码的末字节向后偏移2字节的内容为发送方号码信息的长度0x05，即5个字节，0x05后1字节为发送方号码的标识0xa1，0xa1后的字节内容为发送方号码0x0180f6，其长度为所述发送方号码信息的长度0x05减2，即5个字节,发送方号码0x0180f6以字节交换的格式存储,其中，f为结束位，解析该发送方号码为10086；

s603:查找并解析短信收/发时间:如图5所示，发送方号码0x0180f6后2字节的内容为短信收/发时间的长度0x0008，短信收/发时间的长度固定为8字节并以unicode大端格式储存，短信收/发时间的长度后8字节的内容0x31701090830423为短信收/发时间并以unicode大端格式储存，其中，8字节的内容0x31701090830423由低字节到高字节的内容分别表示年、月、日、时、分、秒及时间结束标识0x23，以此解析0x31表示2013年，0x70表示7月，0x10表示1日，0x90表示9时，0x83表示38分，0x04表示4秒；

s604:查找并解析短信内容:如图5所示，时间结束标识0x23后1字节的内容为短信长度0x88，即88个字节，短信长度0x88后的内容为所述短信内容，所述短信内容以unicode小端格式储存，如图5右侧细黑矩形框中所示内容。

s7:以标识0xcefabeba00的首地址0x003c5000为起始地址，判断前四个字节的内容是否为0x4e5652414d，如果是，执行步骤s8，否则执行步骤s10；

s8:以标识0xcefabeba00的首地址0x003c5000为起始地址，在0x1000字节的范围内查找通话记录标识0x00000081，如果查找到，执行步骤s9，否则执行步骤s10；

s9:解析通话记录，该步骤包含如图4所示的以下步骤：

s901:查找并解析对端号码:如图6所示，通话记录标识0x00000081的末字节向后偏移1字节的内容0x0b为对端号码的长度，即11个字节，对端号码的长度0x0b后的内容为对端号码0x3133363338373635383634，对端号码以ascii码的格式存储，解析该对端号码为13638765864，如图6右侧细黑下横线所示；

s902:查找并解析对端号码在通讯录中所对应的姓名:如图6所示，对端号码的起始地址0x003c2656向后偏移0x29字节的内容为姓名的长度0x06，即6个字节，姓名的长度0x06向后偏移2字节的内容为姓名0x51705fb782f9，其长度6个字节,以unicode大端格式存储；

s903:查找并解析通话时间及时长:姓名的起始地址0x003c2681向后偏移0x20字节的内容为所述通话时间及时长0x04040d0101020d0100fd008f，通话时间及时长的长度固定为0xc，即12个字节，其中，0xc长度的字节中，最高位字节的内容0x8f为通话时长，其单位为秒，即143秒；最高位字节向前偏移5字节的内容0x0d为年，表示13年，即2013年；最高位字节向前偏移7字节的内容0x01为月，表示1月；最高位字节向前偏移8字节的内容0x01为日，表示1日；最高位字节向前偏移9字节的内容0x0d为时，表示13时；最高位字节向前偏移10字节的内容0x04为分，表示4分；最高位字节向前偏移11字节的内容0x04为秒，表示4秒。

s10:判断是否完成字库的查找，如果是，结束流程，否则执行步骤s2。

综上所述，通过本发明提供的方法，能够查找、解析coolsand手机信息，并能通过字库的底层数据解析出手机中的短信及通话记录。

应当理解的是，本发明不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。