一种重组展讯系统数据的方法与流程

本发明涉及信息安全技术领域，特别涉及一种重组展讯系统数据的方法。

背景技术：

随着移动通信技术所提供服务水平和服务种类的不断提高和扩充,手机已日益成为人们工作生活中不可或缺的联系工具,然而与此同时,利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜。手机取证正是打击这类犯罪的一个有效手段。从概念上讲手机取证就是从手机SIM卡、手机内/外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。目前牵涉到手机的犯罪行为大致有三种：一是在犯罪行为的实施过程中使用手机来充当通信联络工具；二是手机被用作一种犯罪证据的存储媒质；最后一种方式是手机被当作短信诈骗、短信骚扰和病毒软件传播等新型手机犯罪活动的实施工具。这些都充分地表明进行手机取证技术的相关研究对于维持社会稳定、保障人民权益和打击犯罪行为具有充分的必要性和极大的迫切性。

目前针对智能在手机取证中的数据恢复技术很成熟，但是展讯公司推出的系统数据具有特殊的数据结构，国内还没有针对该结构的数据恢复方法，遇到这样的手机就会使案件陷入僵局，由于展讯平台的手机采用管理字节和数据区的结构来存储手机数据，普通的分析方法根本无法分析出有用信息，因此需要一种解析展讯系统数据并重组的方法。

技术实现要素：

本发明针对现有技术的缺陷，提供了一种重组展讯系统数据的方法，能有效的解决上述现有技术存在的问题。

一种重组展讯系统数据的方法，包括以下步骤：

S1：镜像Nor Flash内的芯片数据；

S2：从镜像头部跳转至“0xE00000”为FAT区头部；

S3：计算从FAT区数据头部至第一个非“0xFFFF”位置的大小，该大小为第一个块的大小；

S4：继续向下遍历标记文本内容为“FAT”的位置，为分区表头部，从分区表头部向后偏移至0x0B的后两个字节为扇区大小，记录扇区大小；

S5：在FAT区C盘内找关键字“0x00181530FEFFFFFF”，判断该关键字前4个字节是否为“0x0000”,若是则表示映射表有效，执行S6；若否则表示映射表无效，结束；

S6：从“0x00181530FEFFFFFF”向后偏移0x724字节，找到映射表开始位置；

S7：以两个字节为一个逻辑扇区，遍历映射表直至0xFFFF为映射表尾部，该两个字节记录了物理扇区的偏移位置；

S8：根据映射表逻辑扇区，从S3中第一个块头部开始位置、扇区大小、块大小排列数据，及一个逻辑扇区对应一个物理扇区，将物理扇区的数据按照映射表逻辑扇区的顺序重组排序。

与现有技术相比本发明的优点在于：快速识别展讯系统数据区，准确获取组成展讯系统数据区的参数，重组数据成功率高，填补了国内展讯公司推出的展讯系统数据恢复的空缺。

附图说明

图1为本发明实施例重组数据示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下举实施例，对本发明做进一步详细说明。

一种重组展讯系统数据的方法，包括以下步骤：

S1：镜像Nor Flash内的芯片数据；展讯Nor Flash容量为8M或16M，本例分析得为16M的芯片；

S2：得到镜像后从头部跳转至“0xE00000”为FAT区开始位置；展讯系统FAT区数据存储在最后2M的空间；

S3：计算从FAT区数据头部向下遍历直至找到非“0xFFFF”位置的大小，该大小为第一个块的大小，记录块区大小；

S4：继续向下遍历标记文本内容为“FAT”的位置，为分区表头部，从分区表头部向后偏移至0x0B的后两个字节为扇区大小，记录扇区大小；

S5：在C盘区内找关键字“0x00181530FEFFFFFF”，判断该关键字前4个字节是否为“0x0000”,若是则表示映射表有效，执行S6；若否则表示映射表无效，结束；

S6：从从“0x00181530FEFFFFFF”向后偏移0x724字节，找到映射表开始位置；

S7：以两个字节为一个逻辑扇区，遍历映射表直至0xFFFF为映射表尾部，该两个字节记录了物理扇区的偏移位置；

S8：如图1所示，根据映射表逻辑扇区，从S3中第一个块头部开始位置、扇区大小、块大小排列数据，及一个逻辑扇区对应一个物理扇区，将物理扇区的数据按照映射表逻辑扇区的顺序重组排序。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的实施方法，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。