1.一种基于Android系统的智能终端文件获取以及数据恢复系统,其特征在于:包括数据导入模块、数据整理模块和数据管理模块;所述数据整理模块包括情景恢复子模块和数据恢复子模块;所述数据导入模块用于导入Android系统软件、应用软件和浏览器信息;所述数据管理模块包括证据管理子模块和报告管理子模块;
所述数据导入模块与待取证设备连接获取所需的数据,然后通过所述数据整理模块进行情景恢复和数据恢复,最后通过所述数据管理模块管理存储后发动到司法机关。
2.一种基于Android系统的智能终端文件获取以及数据恢复方法,其特征在于,包括以下步骤:
步骤1:获取待取证设备数据;
步骤2:数据恢复;
步骤3:情景恢复;
步骤4:数据输出。
3.根据权利要求2所述的基于Android系统的智能终端文件获取以及数据恢复方法,其特征在于,步骤1的具体实现包括以下子步骤:
步骤1.1:通过sessionStorage对象直接操作存储在浏览器中的会话级别的WebStorage;
步骤1.2:通过localStorage对象直接操作用户永久存储的Web端的数据。
4.根据权利要求2所述的基于Android系统的智能终端文件获取以及数据恢复方法,其特征在于,步骤2的具体实现包括以下子步骤:
步骤2.1:根据删除数据的储存形式,获取到空闲块与未分配区中的数据;
步骤2.2:根据获取到的数据进行数据恢复,如果获取到部分覆盖的数据,利用可变长区域长度估算法计算删除域是否大于27字节,小于27字节则直接进行恢复,大于27字节则利用单元切割法进行切割;
步骤2.3:将步骤2所获取到的可恢复数据进行恢复。
5.根据权利要求4所述的基于Android系统的智能终端文件获取以及数据恢复方法,其特征在于,步骤2.2中计算删除域是否大于27字节,其具体实现包括以下子步骤:
步骤2.2.1:验证估算值的过程中,需计算可变长区域的长度和数据类型type区域长度和数据内容data区域长度之和与最初的单元长度作比较;计算公式为:
f(x)=m+x+l;
其中,x表示估算的可变长区域长度,包括Payload-Size、RowID和Header-Size;m表示记录数据类型type部分的总长度,计算公式为:
l表示记录数据内容data区的总长度,计算公式为:
其中,i为自定义的循环参数,n为可变长区域块的个数,type_size[i]表示第i块的数据类型长度,data_size[i]表示第i块的数据内容长度;
步骤2.2.2:将f(x)值与碎片的总长度进行比较,当两个值相等时就认为估算正确并且可以进行恢复,如果这两个值并不相等,就需要重复上述过程并将估算值加1;当可变长区域长度的估值超过了27个字节时,表明该删除域包含部分被覆盖、损坏的数据或者包含多个单元,则利用单元切割法进行切割。
6.根据权利要求4或5所述的基于Android系统的智能终端文件获取以及数据恢复方法,其特征在于,步骤2.2中所述利用单元切割法进行切割,具体实现过程是:将预测的数据单元长度从前往后加入栈中,当确定最后一个单元的大小后,依次出栈,从后往前确定每一个数据单元的大小,直到栈为空,若最后栈还不为空则表示数据被部分覆盖或者损坏。
7.根据权利要求2所述的基于Android系统的智能终端文件获取以及数据恢复方法,其特征在于,步骤3的具体实现包括以下子步骤:
步骤3.1:利用adb shell从已损坏的手机中提取手机中的app列表;
步骤3.2:根据app列表导出应用APK文件,其中包括配置文件;
步骤3.3:导出用户应用数据库文件;
步骤3.4:把配置文件和数据库覆盖到在安卓模拟器中,在安卓模拟器中实现对手机的情景重现。