基于iOS应用数据提取恢复的人物关系分析系统及方法与流程

本发明涉及ios数据恢复技术领域，尤其涉及一种基于ios应用数据提取恢复的人物关系分析系统及方法。

背景技术：

随着科技的日新月异以及移动互联网的不断发展，司法机关在审判案件时，常常要使用电子数据作为证据，这对案件的迅速侦破是至关重要的。由此传统取证学也演化出了一个重要分支——电子取证，通俗地来讲，即数字取证，案件侦破的效率也由此大幅增加。

从上世纪90年代以来，随着手机操作系统的不断更新，移动终端也逐渐智能化，其承载的大量用户信息成为案件中证据的一个重要来源。智能手机除了基本的通话功能外，在很多商务领域也有着广泛的应用，许多合同的签订和业务上的往来都是通过移动智能终端完成的。高效的同时，也不可避免地会出现纠纷，在这种情况下，相关人员的手机就会成为关键的证物之一。同时司法机构也需要对手机上获取的各类信息的真伪性进行检验。由此产生的移动智能终端取证，作为数字取证的一个重要分支，目前已经是数字取证领域的一项热门研究课题。

在移动终端市场中，由苹果公司生产的运行ios操作系统的移动终端设备包括itouch、ipad和iphone等产品均在商务领域广受用户欢迎。根据最具权威的高德纳公司出具的一份全球手机设备市场调查显示，ios操作系统的手机目前市场占有率位居第二，并有不断上升的趋势，仅次于android操作系统。因此，对iphone进行电子取证是具有很重要的研究价值的。

技术实现要素：

本发明的目的就在于克服现有技术存在的缺点和不足，提供一种基于ios应用数据提取恢复的人物关系分析系统及方法。本发明是针对苹果ios9以上苹果智能终端在终端在删除应用数据之后无法恢复的现象提出解决方案，并通过分析和碰撞直观展示人物关系分析结果，为进一步取证提供支撑。

实现本发明目的技术方案是：

本发明主要对ios应用数据恢复的问题，运用3种数据提取方法即备份数据、dd磁盘镜像以及nand层物理镜像（备份数据属于取证技术分级中的逻辑获取，后两种方法属于物理获取级别。）对iphone中以下5类数据：

1、系统配置信息和默认的应用程序数据：短信息、通讯录、历史通话记录、电子邮件、照片、视频文件、youtube、google地图、提醒事项、日历、备忘录、safari历史记录及书签，系统设置信息；

2、下载到iphone中的应用程序数据：通过appstore或者设备越狱后通过其他资源下载的第三方应用程序数据，如手机qq、微信、微博、浏览器等；

3、同步获得的数据：通过itunes同步的音乐、图片、视频，设备上的邮件应用程序设置的电子邮件账号和内容，以及电脑端下载的应用程序；

4、地理位置信息：由系统默认或者安装的第三方应用程序获取的照片和视频的gps坐标位置数据；

5、通用设备配置：wi-fi和蓝牙信息，设备的操作系统版本、序列号等。

进行获取和恢复，并将及时通讯相关数据据进行提取和存储，通过联系人关

系模型分析对数据中心的数据进行分析，统计单一应用内与本地账号有过通信记录的联系人的账号，联系次数和联系频率。碰撞出逻辑联系并将结果交互到数据中心进行展示。

一、基于ios应用数据提取恢复的人物关系分析系统（简称系统）

本系统包括数据采集模块、分类解析模块、数据恢复模块、联系人关系模型和数据中心模块；

其交互关系是：

数据采集模块、分类解析模块、数据恢复模块和数据中心模块依次交互，实现ios应用数据的提取、恢复和存储；

数据中心模块、联系人关系模型和数据中心模块循环交互，实现联系人通信次数和通信频率计算并进行分析应用。

二、基于ios应用数据提取恢复的人物关系分析方法（简称方法）

本方法包括下列步骤：

①数据采集模块完成对ios设备系统的识别，并对/var/mobile目录下的可恢复文件进行提取，并将数据发送到分类解析模块；

②分类解析模块接收采集到的ios应用数据，识别后将数据按照协议类型区分并解析出需要进行恢复的数据；

③数据恢复模块是通过sqlite底层分析、文件雕复（filecarving）、nand层数据分析三个方向对可恢复的应用数据进行恢复并发往数据中心模块；

④联系人关系模型通过对数据中心交互过来的应用数据进行分析，将联系人通过应用类型，联系次数，联系频率等综合构建出关系分析结果，并发往数据中心模块；

⑤数据中心模块是系统所有数据的存储资源中心，并将从联系人关系模型交互过来的数据进行展示。

本发明具有下列优点和积极效果：

①先进性：目前系统通过多种方法获取iphone的可恢复性数据，并结合使用大数据模型分析联系人和联系频率，展示具备综合性和完整性的结果；

②可靠性：系统抓取的数据都来源手机，数据中心具备可拆分查询的功能，经过多次应用验证，数据全面可靠；

③实用性：经过多种手段恢复iphone数据，结合多种即时通讯app和通讯录分析出关系人，保证数据的有效性；

④可扩展性：使用目前的系统对数据进行恢复之后，在数据中心可以进一步集成多种查询方式以及其他功能，也可以对文字或者图片进行另外的处理。

附图说明

图1是本系统的结构方框图。

图中：

100—数据采集模块；

200—分类解析模块；

300—数据恢复模块；

400—联系人关系模型；

500—数据中心模块。

英译汉

1、ios：由苹果公司开发的移动操作系统；

2、nand：计算及闪存设备；

3、wi-fi：wirelessfidelity，无线高保真，是一种允许电子设备连接到一个无线局域网（wlan）的技术；

4、gps：globalpositioningsystem，全球定位系统。

5、sqlite：一款轻型的数据库。

具体实施方式

以下结合附图和实施例详细说明。

一、系统

1、总体

如图1，本系统包括包括数据采集模块100、分类解析模块200、数据恢复模块300、联系人关系模型400和数据中心模块500；

其交互关系是：

数据采集模块100、分类解析模块200、数据恢复模块300和数据中心模块500依次交互，实现ios应用数据的提取、恢复和存储；

数据中心模块500、联系人关系模型400和数据中心模块500循环交互，实现联系人通信次数和通信频率计算并进行分析应用。

2、功能模块

①数据采集模块100

数据采集模块100是一种ios设备识别和应用数据采集的方法；

完成对ios设备系统的识别，并对/var/mobile目录下的可恢复文件进行提取，并将数据发送到分类解析模块200。

②分类解析模块200

分类解析模块200是一种数据区分和解析输出方法；

接收采集到的ios应用数据，识别后将数据按照协议类型区分并解析出需要进行恢复的数据；

分类解析模块200处理过数据发送给数据恢复模块300。

③数据恢复模块300

数据恢复模块300是一种ios应用已删除数据获取和恢复的方法；

通过sqlite底层分析、文件雕复（filecarving）、nand层数据分析三个方向对可恢复的应用数据进行恢复并发往数据中心模块500。

④联系人关系模型400

联系人关系模型400是一种统计和计算模型，用于实现分析联系人的通信次数和频率；

通过对数据中心交互过来的应用数据进行分析，将联系人通过应用类型，联系次数，联系频率等综合构建出关系分析结果，并发往数据中心模块500。

⑤数据中心模块500

数据中心模块500是一种数据存储和分析方法；

数据中心模块500是系统所有数据的存储资源中心，并将从联系人关系模型交互过来的数据进行展示。

3、本系统的工作机理

首先，数据采集模块100对iphone的设备和系统进行识别，将特定路径的数据进行采集，发送给分类解析模块200进行协议区分和解析。

其次，分类解析模块200将分类打标过的数据发送到数据恢复模块300进行数据恢复，分类生成数据文件和索引文件，为入库做准备；数据中心模块500将恢复后的数据存入数据库，建立不同的表存放，方便对数据进行提取和挖掘。

最后，联系人关系模型400对数据中心模块500中存储的数据进行运算和统计，根据联系人关系模型400的规则对数据进行识别，按照协议类型、联系人、联系频率、联系时间、昵称、备注名、手机号码对数据进行多个字段的匹配，形成联系人关系表，写入数据中心模块500中，对联系人关系进行展示。

二、方法

1、步骤①：

a、识别连接设备的ios系统，通过输入密码获取权限进入/var/mobile目录来读取和采集应用数据；

b、采集数据是分析比对文件目录下的数据，区分出能被解析的数据，并将文件路径，数据文件类型进行传输；

c、数据采集模块以数据流的方式进行传输，作为socket客户端，与作为socket服务端的分类解析模块建立连接。

2、步骤②：

a、分类解析模块作为socket服务端，与作为socket客户端的数据采集模块建立连接；

b、按文件路径和文件名分类解析数据文件，发送需要进行恢复的文件。

3、步骤③：

a、针对sqlite数据库的存储特性，进行数据表记录的恢复；在sqlite数据库文件结构中，数据库中的每一个表都是由多个b-tree页组成，如果删除数据所在的页存在其他未删除数据，则删除数据区域只是会变成一个freeblock块，其中的数据并没有真正删除，并且数据库文件大小不变；每张表或索引的第一页称为根页（rootpage），数据库中所有的表和索引的根页面都存储在sqlite_matter表中；算法具体实现步骤如下：

1）通过查找数据库文件头，确定本数据库文件中页的大小；

2）从sqlite_matter表的rootpage字段中找到表的根页，则根页的起始地址=页的大小*（根页-1）；

3）对根页的页头结构进行分析，找出根页下包含的内部页的起始地址；

4）对内部页的页头结构进行分析，找出内部页下包含的叶子页的起始地址；

5）对所有叶子页的页头结构进行分析，可以找到每一条数据记录的地址，并可以知道是否有freeblock块，如果有的话可以找到所有freeblock块的地址，结合表的结构提取出数据，已删除数据记录即可从freeblock块中恢复；

b、已知删除过的e-mail文件存储在dmg文件中，消息内容显示“这是一条测试消息，它将从gmail账户中删除”，其位偏移是0x8bd5a5b；用十六进制编辑器可以跳到这个位置，进而能显示出更多信息；

使用strings命令，当查询和过滤功能一起应用时，它能够很快确认出电话号码、名字、位置、gps坐标、日期以及其他从数据文件中可以提取的信息；同时与scalpal结合使用，可以快速定位文件头部和尾部的标志位，提高文件雕复的效率；

c、根据btoc/metadata建立逻辑页与物理页的映射关系，建立物理页与逻辑页之间的完整映射后，数据恢复任务将完全回到hfs+文件系统层；获取文件记录中指向用户数据块的指针（即此文件包含的区段溢出文件中第一个文件数据块的地址），以此定位文件的第一个用户数据块；结合该用户数据页的更新序号usn，可依次找到紧接着下一页的属于此文件的数据，重复此操作直到找到文件尾部为止即可恢复文件。

4、步骤④：

a、将从数据中心交互过来的数据进行分类统计，区别查询各类应用的数据，提取出协议类型，联系人，联系频率，联系时间，昵称，备注名，手机号码，为下一步运算做准备：

b、串联各种类应用的本地账号，本机手机号，比对所有联系人，利用大数据分析方法，使用sparkgraphx分布式计算框架和其中graphx自带的labelpropagation算法来进行团伙识别和关系分析，将协议类型，联系人，联系频率，联系时间，昵称，备注名，手机号码按照权重分布形成对应的表，使用联系人的昵称，备注名，手机号码作为关键字，将所有恢复出来的应用数据最大限度串联起来，将一天24小时区分成移动时段（6:00-7:59，18:00-19:59）、工作时段（8:00-17:59）和休息时段（22:00-5:59），将联系人和联系频率排序统计，结合联系时间段的联系频率排序可以初步判定出联系人重要程度，通过对不同目标的比对，按目标号码，三类时间段的最常联系人，组织化趋势对应用数据进行标记，关联查询聊天记录。将这样碰撞出逻辑联系并标记后的结果交互到数据中心。

5、步骤⑤：

a、将从数据恢复模块交互过来的数据和从联系人关系模型交互过来的数据进行结构化存储；

b、通过索引实现数据的查询和直观展示目标的联系人时间段和联系次数分布，并可扩展出群组结构；同时支持对移动时段，工作时段和休息时段的聊天记录查询。