一种解析黑莓手机备份文件的方法与流程

本发明属于数据恢复与电子取证领域，涉及手机数据恢复与手机取证，尤其涉及一种解析黑莓手机备份文件的方法。
背景技术：
：随着移动通信技术不断地发展,手机的使用范围越来越广。然而,利用手机进行诈骗、诽谤和伪造等犯罪活动也屡见不鲜，手机数据恢复与手机取证是打击这类犯罪的一个有效手段。手机取证就是从手机SIM卡、手机内、外置存储卡以及移动网络运营商数据库中收集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的过程。近年来，利用手机进行诈骗、诽谤和伪造等犯罪活动日益猖獗，研究手机数据恢复与手机取证技术变得非常迫切。黑莓(Blackberry)手机不同于其他使用Symbian、WindowsMobile、ios等操作系统的手机，其加密性能更强，更安全。另外，黑莓手机的移动邮件设备基于双向寻呼技术，提供企业移动办公的一体化解决方案，最大方便之处是提供了邮件的推送功能：即由邮件服务器主动将收到的邮件推送到用户的手机上，而不需要用户频繁地连接网络查看是否有新邮件，但是，到目前为止，现有技术中还没有一种有效地解析黑莓手机备份文件的方法。技术实现要素：本发明针对现有技术的不足和上述问题，提出一种解析黑莓手机备份文件的方法，通过解析数据文件夹Databases中应用程序的数据文件，能够解析黑莓手机中所有应用程序的数据，包括短信文件、联系人文件及通话历史文件，解决了现有技术不能有效地解析黑莓手机备份文件的问题，所述方法包括以下步骤：S1：解压黑莓手机的备份文件，以生成清单文件Manifest.xml和数据文件夹Databases，所述数据文件夹Databases包含黑莓手机所有应用程序的数据文件；S2：打开所述清单文件Manifest.xml以获取所述数据文件夹Databases中所需应用程序的管理信息，所述管理信息包括每一应用程序的属主标识uid、记录数及应用程序名；S3：根据所述应用程序名获取对应的所述属主标识uid，并根据所述属主标识uid，在所述数据文件夹Databases中查找并打开对应的所述数据文件；S4：解析所述数据文件，包括短信文件、联系人文件及通话历史文件。作为优选，所述备份文件为后缀bbb的文件，所述数据文件格式为十六进制的dat文件。作为优选，所述数据文件具有相同的数据结构。作为优选，所述步骤S4包括以下步骤：S4011：打开所述数据文件；S4012：解析所述数据文件的文件头、内容标识及应用程序名：所述数据文件的前40字节固定为文件头，所述文件头为496E746572406374697665205061676572204261636B75702F526573746F72652046696C650A0200，第41、42字节的内容为内容标记，第43、44字节的内容为所述应用程序名的长度，从第45字节起的内容为所述应用程序名，长度为所述应用程序名的长度；S4013：解析所述数据文件中的字段：所述字段由标识符、字段长度及字段内容组成，所述应用程序名向后偏移2字节的内容为所述标识符，所述标识符后的4个字节为所述字段长度，所述字段长度后的内容为所述字段内容，所述字段内容的长度为所述字段长度，所述数据文件包含一个或多个所述字段，所述字段具有相同的数据结构；S4014：解析所述字段中的记录：每一所述字段内容的前7个字节为填充字节，所述填充字节后由一条或多条具有相同数据结构的记录组成，所述记录由记录长度、记录标记和记录内容组成，所述记录长度占2个字节，所述记录标记占1个字节，所述记录内容的长度为所述记录长度；所述短信文件所对应的所述数据文件中，所述记录的所述记录标记和所述记录内容见表1：表1：短信文件的记录标记和记录内容记录标记(十六进制)记录内容(十六进制)01java格式的短信接收时间02电话号码04短信内容07空09空0B00000000表示接收，01000100表示发送0C空0F空所述联系人文件所对应的所述数据文件中，所述记录的所述记录标记和所述记录内容见表2：表2：联系人文件的记录标记和记录内容所述通话历史文件所对应的所述数据文件中，所述记录的所述记录标记和所述记录内容见表3。表3：通话历史文件的记录标记和记录内容与现有技术相比，本发明的有益效果是：解决了现有技术不能有效地解析黑莓手机备份文件的问题，为黑莓手机的数据恢复和手机取证提供了一种有效的方法。附图说明图1为本发明的主流程图。图2为本发明中清单文件Manifest.xml的数据结构图。图3为本发明中解析数据文件的处理流程图。图4为数据文件中文件头、内容标识及应用程序名的数据结构图。图5为数据文件中字段的数据结构图。图6为短信文件的记录的数据结构图。图7为短信文件的短信内容的数据结构图。具体实施方式下面结合附图和实施例对本发明作进一步阐述。如图1所示，一种解析黑莓手机备份文件的方法，包括以下步骤：S1：黑莓手机的备份文件为后缀bbb的文件，将.bbb的后缀重命名为.zip的后缀，解压该备份文件并生成清单文件Manifest.xml和数据文件夹Databases，该文件夹Databases包含黑莓手机所有应用程序的数据文件，这些数据文件格式为十六进制的dat文件；S2：打开清单文件Manifest.xml以获取数据文件夹Databases中所需应用程序的管理信息，如图2所示，管理信息包括每一应用程序的属主标识uid、记录数及应用程序名；S3：根据应用程序名获取对应的属主标识uid，并根据该属主标识uid，在数据文件夹Databases中查找并打开对应的数据文件，例如，根据应用程序名PhoneHistory，在清单文件Manifest.xml中查找到该应用程序名对应的属主标识uid为18，则在数据文件夹Databases中查找并打开文件名为18.dat的数据文件；S4：解析数据文件，包括短信文件、联系人文件及通话历史文件，以解析短信文件的数据文件为例，步骤S4包括如图3所示的以下步骤，S401：根据清单文件Manifest.xml，查找应用程序名“SMSMessages”并查找到该应用程序名对应的属主标识uid为85，在数据文件夹Databases中查找并打开数据文件85.dat；S402：解析数据文件85.dat的文件头、内容标识及应用程序名：如图4所示，数据文件85.dat的前40字节固定为文件头，文件头为496E746572406374697665205061676572204261636B75702F526573746F72652046696C650A0200，第41、42字节的内容为内容标记0x0100，第43、44字节的内容为应用程序名的长度0x0D00，从第45字节起的内容为应用程序名,见图4右侧解释栏中的“SMSMessages”所示，其长度为应用程序名的长度0x0D00，即13字节；S403：解析数据文件85.dat中的字段：如图5所示，字段由标识符、字段长度及字段内容组成，应用程序名向后偏移2字节的内容0x5500为标识符，标识符后的4个字节内容0xA1000000为该字段长度，字段长度后的内容为字段内容，如图5所示的黑框范围即为字段内容，字段内容的长度为字段长度0xA1000000，即161字节；通常地，数据文件包含一个或多个字段，每一字段具有相同的数据结构；S404：解析字段中的记录：如图6所示，每一字段内容的前7个字节为填充字节，该实施例中的填充字节的内容为0x051705B6022C48，填充字节后由一条或多条具有相同数据结构的记录组成，每一记录由记录长度、记录标记和记录内容组成；该记录长度占2个字节，内容为0x4000；记录标记占1个字节，内容为0x01；记录内容的长度为记录长度0x4000，即64字节；其中，记录标记0x01表示该短信的java格式的短信时间，记录标记0x01后的64字节的内容为该短信时间，见图6中数据解释器所示，该短信时间为2014/07/1814:32:29；此外，如图6所示，记录标记0x0B表示该短信的收发标识，其前2字节内容0x0400表示收发标识的长度为4字节，其后4字节的内容为收发标识0x01000100，表示该短信是发送的短信；其次，如图6所示，记录标记0x02表示电话号码，其前2字节内容0x1300表示该电话号码的长度为19字节，其后19字节的内容为0x000000002B38363135393038313432353433001000100，表示该电话号码为+8615908142543；再次，如图7所示，记录标记0x04表示短信内容，其前2字节内容0x0400表示该短信内容的长度为4字节，其后4字节的内容为0x4F60597D，见图7中右侧解释栏所示，该短信的内容是“你好”；短信文件85.dat中，可以解析其记录的记录标记和记录内容见表1：表1：短信文件的记录标记和记录内容记录标记(十六进制)记录内容(十六进制)01java格式的短信时间02电话号码04短信内容07空09空0B00000000表示接收，01000100表示发送0C空0F空由于黑莓手机的数据文件具有相同的数据结构，因此，根据相同的方法可以解析其他应用程序的数据文件，其中，联系人文件所对应的数据文件34.dat中，可以解析其记录的记录标记和记录内容见表2：表2：联系人文件的记录标记和记录内容同理，通话历史文件所对应的数据文件18.dat中，可以解析其记录的记录标记和记录内容见表3。表3：通话历史文件的记录标记和记录内容应当理解的是，本发明不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。当前第1页1 2 3