一种针对塞班系统重组数据的方法与流程

本发明涉及信息安全技术领域，特别涉及一种针对塞班系统重组数据的方法。

背景技术：

随着移动通信技术所提供服务水平和服务种类的不断提高和扩充，手机已日益成为人们工作生活中不可或缺的联系工具，然而与此同时，利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜。手机取证正是打击这类犯罪的一个有效手段。从概念上讲手机取证就是从手机SIM卡手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。目前牵涉到手机的犯罪行为大致有三种：一是在犯罪行为的实施过程中使用手机来充当通信联络工具；二是手机被用作一种犯罪证据的存储媒质；最后一种方式是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究对于维持社会稳定、保障人民权益和打击犯罪行为具有充分的必要性和极大的迫切性。

但是目前针对智能在手机取证中的数据恢复技术很成熟，但是针对塞班系统数据提取国内还没有更好的方法，遇到这样的手机就会使案件陷入僵局，由于塞班系统采用管理字节和数据区的结构来存储手机数据，普通的分析方法根本无法分析出有用信息，为了解决这类问题，故介绍塞班系统数据去重组的方法。

技术实现要素：

本发明针对现有技术的缺陷，提供了一种针对塞班系统重组数据的方法，能有效的解决上述现有技术存在的问题。

一种针对塞班系统重组数据的方法，包括以下步骤：

S1：对塞班系统手机的数据进行物理镜像；

S2：判断镜像中是否存在数据区；从镜像头部开始扫描XSR2，其特征为“0X58535232”，若找到该特征说明镜像中存在数据区，执行S3，否则结束；

S3：分析数据区结构，并将数据区中的块排序；

S4：分析每个块中的数据结构，并将块内数据排序；

S5：将重新排序的块内数据重组并提取，恢复出正常数据。

作为优选，S3的详细步骤如下：

S301：从特征“0X58535232”继续向下扫描下一个“0X58535232”特征，计算它们之间的字节数，得到块大小；

S302：按照块大小从特征“0X58535232”向下跳转并记录每一个“0X58535232”，直至没有特征或者到达镜像尾部；

S303：找到每个块的逻辑顺序编号，特征“0X58535232”后的四个字节记录块的顺序编号，记录所有的编号；

S304：按照编号顺序将块排列。

作为优选，S4的详细步骤如下：

S401：从块头部偏移0x840；

S402：从偏移位开始向下截取4段大小为“0x200”的数据并记录，这4段数据为数据区数据；

S403：从402截取的数据的尾部开始向下跳转4次，间隔为“0x0F”字节，并记录每次跳转位置的格式为0xAABB的标记，此标记用于记录S402中4端数据的逻辑顺序；且顺序彼此对应，及第一段数据区数据对应第一个标记，以此类推；

S404：将数据区数据按照逻辑顺序排序。

作为优选，S5中所述的重组数据区数据只包括了S402中大小为“0x200”的数据。

与现有技术相比本发明的优点在于：可识别判断塞班系统数据区是否存在数据，完整重组塞班系统的数据，重组后的数据不会出现损坏，重组成功率高，帮助警方恢复手机数据，协助破案，降低因数据丢死带来的损失。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下举实施例，对本发明做进一步详细说明。

如图1所示，一种针对塞班系统重组数据的方法，包括以下步骤：

S1：对塞班系统手机的数据进行物理镜像；

S2：判断镜像中是否存在数据区；从镜像头部开始扫描XSR2，其特征为“0X58535232”，若找到该特征说明镜像中存在数据区，执行S3，否则结束。

S3：分析数据区结构，并将数据区中的块排序；

S4：分析每个块中的数据结构，并将块内数据排序；

S5：将重新排序的块内数据重组并提取，恢复出正常数据。

S3的详细步骤如下：

S301：从特征“0X58535232”继续向下扫描下一个“0X58535232”特征，计算它们之间的字节数，得到块大小；

S302：按照块大小从特征“0X58535232”向下跳转并记录每一个“0X58535232”，直至没有特征或者到达镜像尾部；

S303：找到每个块的逻辑顺序编号，特征“0X58535232”后的四个字节记录块的顺序编号，记录所有的编号；

S304：按照编号顺序将块排列，例如：一个块编号为“0x7E”，那么这个块前后需要排列的块编号分别是“0x7D”“0x7F”。

S4的详细步骤如下：

S401：从块头部偏移0x840；

S402：从偏移位开始向下截取4段大小为“0x200”的数据并记录，这4段数据为数据区数据；

S403：从402截取的数据的尾部开始向下跳转4次，间隔为“0x0F”字节，并记录每次跳转位置的格式为0xAABB的标记，此标记用于记录S402中4端数据的逻辑顺序；且顺序彼此对应，及第一段数据区数据对应第一个标记，以此类推,如图2所示；

S404：将数据区数据按照逻辑顺序排序，例如：S403中找到的标记为“0x00FF”“0x03FC”“0x05FA”“0x02FD”，表示数据区数据在块内排序应该为0号扇区、3号扇区、5号扇区、2号扇区。

需要注意的是S5中所述的重组数据区数据只包括了S402中大小为“0x200”的数据。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的实施方法，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。