專利名稱:一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到司法取證領(lǐng)域,特別是手機(jī)司法取證領(lǐng)域��,具體涉及到一種針對(duì)手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法�。
背景技術(shù):
隨著移動(dòng)通信技術(shù)所提供服務(wù)水平和服務(wù)種類的不斷提高和擴(kuò)充,手機(jī)已日益成為人們工作生活中不可或缺的聯(lián)系工具�����。然而與此同時(shí)�����,利用手機(jī)進(jìn)行詐騙����、誹謗和偽造等犯罪活動(dòng)也屢見(jiàn)不鮮。手機(jī)取證正是打擊這類犯罪的一個(gè)有效手段。手機(jī)取證就是從手機(jī) SIM卡��、手機(jī)內(nèi)存��、手機(jī)外置存儲(chǔ)卡以及移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商數(shù)據(jù)庫(kù)中收集���、保全和分析相關(guān)的電子證據(jù)����,并最終從中獲得具有法律效力���、能被法庭所接受的證據(jù)的過(guò)程��。目前牽涉到手機(jī)的犯罪行為大致有三種;一是在犯罪行為的實(shí)施過(guò)程中使用手機(jī)來(lái)充當(dāng)通信聯(lián)絡(luò)工具����;二是手機(jī)被用作一種犯罪證據(jù)的存儲(chǔ)媒質(zhì);最后一種方式是手機(jī)被當(dāng)作短信詐騙���、短信騷擾和病毒軟件傳播等新型手機(jī)犯罪活動(dòng)的實(shí)施工具��。這些都充分地表明進(jìn)行手機(jī)取證技術(shù)的相關(guān)研究對(duì)于維持社會(huì)穩(wěn)定�����、保障人民權(quán)益和打擊犯罪行為具有充分的必要性和極大的迫切性��。手機(jī)中內(nèi)存芯片一般采用NAND和NOR格式的存儲(chǔ)芯片�,根據(jù)芯片廠商和型號(hào)規(guī)格的不同,存儲(chǔ)為私有的數(shù)據(jù)格式���。目前對(duì)手機(jī)內(nèi)存中的個(gè)人數(shù)據(jù)一般采用特征搜索的方式進(jìn)行分析���,這種方式由于沒(méi)有重組成標(biāo)準(zhǔn)的文件系統(tǒng),也不便于查看及使用第三方磁盤分析工具進(jìn)行再次分析�����。通過(guò)搜索分析出的數(shù)據(jù)不能區(qū)分是正常的記錄還是已經(jīng)刪除的記錄��,也不能區(qū)分文件系統(tǒng)中的文件內(nèi)容��。綜上所述���,針對(duì)現(xiàn)有技術(shù)的缺陷�,特別需要一種針對(duì)手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法���,以解決現(xiàn)有技術(shù)的不足����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法,根據(jù)不同芯片的特征產(chǎn)生不同的手機(jī)內(nèi)存鏡像映射表����,映射表反映了文件系統(tǒng)中塊和扇區(qū)在手機(jī)芯片存儲(chǔ)區(qū)中的偏移信息,按映射表中的提供的映射信息重新還原成一個(gè)標(biāo)準(zhǔn)的文件系統(tǒng)結(jié)構(gòu)�����,從而實(shí)現(xiàn)本發(fā)明的目的��。本發(fā)明所解決的技術(shù)問(wèn)題可以采用以下技術(shù)方案來(lái)實(shí)現(xiàn)—種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法�����,其特征在于�����,所述方法包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲(chǔ)芯片的存儲(chǔ)格式��、存儲(chǔ)類型和特征���;2)根據(jù)存儲(chǔ)芯片的存儲(chǔ)格式和特征分離出代碼區(qū)和存儲(chǔ)區(qū)��;3)根據(jù)存儲(chǔ)芯片的存儲(chǔ)類型和特征�����,把存儲(chǔ)區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū)���;4)根據(jù)管理區(qū)的特征,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表��;5)通過(guò)映射表將數(shù)據(jù)區(qū)重新組合��,還原成一個(gè)標(biāo)準(zhǔn)的文件系統(tǒng)格式�。
在本發(fā)明的一個(gè)實(shí)施例中,所述存儲(chǔ)芯片中的存儲(chǔ)格式由NAND格式或NOR格式中的一種或幾種組成���。在本發(fā)明的一個(gè)實(shí)施例中����,所述方法先分析鏡像文件的結(jié)構(gòu)��,再重組成標(biāo)準(zhǔn)文件系統(tǒng)�����。本發(fā)明的有益效果在于能夠通過(guò)重新組合,把手機(jī)內(nèi)存芯片鏡像還原成標(biāo)準(zhǔn)的文件系統(tǒng)���,更易于進(jìn)行進(jìn)一步的數(shù)據(jù)挖掘�。能夠更好的提取手機(jī)內(nèi)存中的存儲(chǔ)的信息���,且更好的區(qū)分現(xiàn)有記錄還是已經(jīng)刪除的記錄��。
具體實(shí)施例方式為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段���、創(chuàng)作特征、達(dá)成目的與功效易于明白了解�,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明���。一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法�����,根據(jù)不同芯片的特征產(chǎn)生不同的手機(jī)內(nèi)存鏡像映射表����,映射表反映了文件系統(tǒng)中塊和扇區(qū)在手機(jī)芯片存儲(chǔ)區(qū)中的偏移信息����,按映射表中的提供的映射信息重新還原成一個(gè)標(biāo)準(zhǔn)的文件系統(tǒng)結(jié)構(gòu),具體包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲(chǔ)芯片的存儲(chǔ)格式����、存儲(chǔ)類型和特征;2)根據(jù)存儲(chǔ)芯片的存儲(chǔ)格式和特征分離出代碼區(qū)和存儲(chǔ)區(qū)����;3)根據(jù)存儲(chǔ)芯片的存儲(chǔ)類型和特征,把存儲(chǔ)區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū)����;4)根據(jù)管理區(qū)的特征,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表��;5)通過(guò)映射表將數(shù)據(jù)區(qū)重新組合���,還原成一個(gè)標(biāo)準(zhǔn)的文件系統(tǒng)格式����。下面以聯(lián)想i908為例���,具體說(shuō)明1.分析NAND芯片“典型”NAND鏡像���,此處用聯(lián)想i908鏡像做分析鏡像大小為66M�����。NAND和NOR芯片的組成都分為管理區(qū)和數(shù)據(jù)區(qū)����。數(shù)據(jù)區(qū)是實(shí)際的數(shù)據(jù)�,通常單位是512字節(jié)/扇區(qū)。手機(jī)基本上采用標(biāo)準(zhǔn)的FAT32文件系統(tǒng)�。因此,管理區(qū)就管理如何將扇區(qū)中的數(shù)據(jù)映射到文件系統(tǒng)�����。一般的NAND芯片的每個(gè)管理區(qū)是16字節(jié)��,管理一個(gè)扇區(qū)�����,即512字節(jié)的實(shí)際數(shù)據(jù)�����。較為常見(jiàn)和通用的排布方式是每個(gè)512個(gè)字節(jié)的扇區(qū)后跟16字節(jié)的管理區(qū)��。管理區(qū)中描述該扇區(qū)是否有效���,校驗(yàn)位��,以及實(shí)際映射到FAT文件系統(tǒng)中的位置�����。在沒(méi)有重組之前�����, 扇區(qū)的順序和文件系統(tǒng)布局都是混亂的���。在進(jìn)行具體的分析之前,首先要找到鏡像中數(shù)據(jù)區(qū)和管理區(qū)的位置�。一般而言 NAND芯片的數(shù)據(jù)區(qū)和管理區(qū)是放在一起的,而且大部分都在鏡像的后半部分�����,而前半部分則是一些代碼區(qū)。有一個(gè)比較通用的查找數(shù)據(jù)區(qū)的方法���,就是首先找到鏡像前半部分中第一個(gè)“.BIN����,�����,標(biāo)記��,隨后查找· BIN標(biāo)記后第一個(gè)01標(biāo)記那么�����,在����,01,標(biāo)記后偏移OxOA的位置的4個(gè)字節(jié)����,就是數(shù)據(jù)區(qū)在整個(gè)鏡像的偏移位置,緊接著4個(gè)字節(jié)就是數(shù)據(jù)區(qū)的大小, 這4個(gè)字節(jié)采用小端字節(jié)序存儲(chǔ)��。這里要注意的是偏移量和大小僅僅代表純數(shù)據(jù)區(qū)的位置�,由于有管理區(qū)的存在,因此�,每512字節(jié)有16字節(jié)管理區(qū),算下來(lái)0x02000000的位置�����,實(shí)際偏移量應(yīng)該是 0x02100000����,而大小也包括了交錯(cuò)的管理區(qū)���,應(yīng)該是0x02100000����。(即整個(gè)鏡像大小的一
4半�,32M+1M)先看最后16字節(jié)的管理區(qū)。其中���,偏移量為4的0x88表示該扇區(qū)是有效扇區(qū)�����, 而最后4個(gè)字節(jié)0x00000000表示該扇區(qū)在FAT文件系統(tǒng)中的位置是首個(gè)位置����。可以從上面512字節(jié)末0x55AA來(lái)粗略驗(yàn)證它是一個(gè)FAT的數(shù)據(jù)頭�����,其余字節(jié)的實(shí)際作用待驗(yàn)證���。然后依次類推����,512+16,512+16...這樣可以重組成一個(gè)FAT文件系統(tǒng)�。2.重組成標(biāo)準(zhǔn)文件系統(tǒng)由于MTK采用的是NAND或NOR芯片(或者一塊NAND —塊NOR),他們?cè)谥亟M成FAT 文件系統(tǒng)時(shí)�,最小的數(shù)據(jù)單位是512字節(jié)的數(shù)據(jù)扇區(qū)。因此����,存在原始鏡像中的指定數(shù)據(jù)扇區(qū)與FAT系統(tǒng)中的某個(gè)數(shù)據(jù)扇區(qū)一對(duì)一的關(guān)系,并且可以制作一張映射表��。由于是一對(duì)一的關(guān)系,為了節(jié)約空間�����,采取了順序存儲(chǔ)的方式��,即省略了目的FAT 鏡像扇區(qū)號(hào)的索引����,改為默認(rèn)從0開(kāi)始,遞增�����,類似數(shù)組的方式排布���。開(kāi)始的64字節(jié)是一個(gè)定義好的結(jié)構(gòu)體,定義如下
typedef struct tagReconHeader
{
charszSymbol[8]��;
DWORDdwVersion;
DWORDdwSizeOfStruct;
DWORDdwCryptFlag;
DWORDdwStartOffset��;
UL0NGL0NG qwContentSize; BYTEcbPadding[32]�����;
} REC0NHEADER,氺LPRECONHEADER正文起始地址即0x00000040,從這里開(kāi)始��,每8個(gè)字節(jié)表示新FAT文件系統(tǒng)的對(duì)應(yīng)
索引的扇區(qū)在原始鏡像中的位置�����。比如0x00000040-0x00000047 8個(gè)字節(jié)表示第0個(gè)扇區(qū)在原始鏡像中地址是 0x00000000E3FE00, (Little Endian)0x0x00000048-0x0000004F 8個(gè)字節(jié)表示第1個(gè)扇區(qū)在原始鏡像中地址是 0x00000000E3FC00�。以此類推。這樣在后續(xù)的處理中會(huì)對(duì)此映射表進(jìn)行處理�,按扇區(qū)位置重組出標(biāo)準(zhǔn)的文件系統(tǒng)。以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)��。本行業(yè)的技術(shù)人員應(yīng)該了解���,本發(fā)明不受上述實(shí)施例的限制��,上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理���,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會(huì)有各種變化和改進(jìn)����,這些變化和改進(jìn)都在要求保護(hù)的本發(fā)明范圍內(nèi),本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等效物界定�。
/*目前始終為"PSM.MTK" */ /*版本號(hào)*/ /*本結(jié)構(gòu)體大小*/ /*加密標(biāo)志*/ /*正文起始*/ /*正文長(zhǎng)度*/ /*填充字節(jié)*/
權(quán)利要求
1.一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法�����,其特征在于�����,所述方法包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲(chǔ)芯片的存儲(chǔ)格式�����、存儲(chǔ)類型和特征���;2)根據(jù)存儲(chǔ)芯片的存儲(chǔ)格式和特征分離出代碼區(qū)和存儲(chǔ)區(qū);3)根據(jù)存儲(chǔ)芯片的存儲(chǔ)類型和特征����,把存儲(chǔ)區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū)����;4)根據(jù)管理區(qū)的特征,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表��;5)通過(guò)映射表將數(shù)據(jù)區(qū)重新組合����,還原成一個(gè)標(biāo)準(zhǔn)的文件系統(tǒng)格式�。
2.如權(quán)利要求1所述的一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法��,其特征在于�,所述存儲(chǔ)芯片中的存儲(chǔ)格式由NAND格式或NOR格式中的一種或幾種組成。
3.如權(quán)利要求1所述的一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法����,其特征在于,所述方法先分析鏡像文件的結(jié)構(gòu)���,再重組成標(biāo)準(zhǔn)文件系統(tǒng)����。
全文摘要
本發(fā)明公開(kāi)了一種手機(jī)內(nèi)存芯片鏡像文件重組成標(biāo)準(zhǔn)文件系統(tǒng)的方法�����,根據(jù)不同芯片的特征產(chǎn)生不同的手機(jī)內(nèi)存鏡像映射表�����,映射表反映了文件系統(tǒng)中塊和扇區(qū)在手機(jī)芯片存儲(chǔ)區(qū)中的偏移信息����,按映射表中的提供的映射信息重新還原成一個(gè)標(biāo)準(zhǔn)的文件系統(tǒng)結(jié)構(gòu)�����,具體包括如下步驟1)確認(rèn)手機(jī)內(nèi)存存儲(chǔ)芯片的存儲(chǔ)格式����、存儲(chǔ)類型和特征�����;2)根據(jù)存儲(chǔ)芯片的存儲(chǔ)格式和特征分離出代碼區(qū)和存儲(chǔ)區(qū)���;3)根據(jù)存儲(chǔ)芯片的存儲(chǔ)類型和特征���,把存儲(chǔ)區(qū)再分離成管理區(qū)和數(shù)據(jù)區(qū);4)根據(jù)管理區(qū)的特征�����,產(chǎn)生一張數(shù)據(jù)區(qū)到實(shí)際文件系統(tǒng)結(jié)構(gòu)的映射表�;5)通過(guò)映射表將數(shù)據(jù)區(qū)重新組合���,還原成一個(gè)標(biāo)準(zhǔn)的文件系統(tǒng)格式����。
文檔編號(hào)G06F17/30GK102254032SQ20111022303
公開(kāi)日2011年11月23日 申請(qǐng)日期2011年8月4日 優(yōu)先權(quán)日2011年8月4日
發(fā)明者李建新, 陸道宏 申請(qǐng)人:盤石軟件(上海)有限公司