專利名稱：一種im刪除信息的恢復(fù)方法
技術(shù)領(lǐng)域：
本發(fā)明屬于信息安全與計算機(jī)應(yīng)用技術(shù)領(lǐng)域，涉及一種IM刪除信息的恢復(fù)方法。
背景技術(shù)：
采用復(fù)合文件作為存儲結(jié)構(gòu)的IM刪除信息的恢復(fù)，目前國內(nèi)研究比較少，較為完整的技術(shù)文檔和相關(guān)專利也較少。目前市場上已有IM刪除信息恢復(fù)的軟件，但是局限性很大，而且目前沒有發(fā)現(xiàn)頂刪除信息恢復(fù)相關(guān)公開的技術(shù)文檔或?qū)＠afeAnalyzer是一款具備IM刪除信息恢復(fù)的軟件，但是由于對存儲IM信息的復(fù)合文件中的未使用空間挖掘不充分，導(dǎo)致只能恢復(fù)出部分的IM刪除信息。IM刪除信息恢復(fù)，主要依賴于復(fù)合文件中未使用空間的獲取和IM數(shù)據(jù)特征的搜索。目前已有的技術(shù)，對未分配空間的挖掘只限于文件殘留區(qū)和復(fù)合文件中空閑空間(即標(biāo)志為-I的塊)。由于，在很多情況下IM信息被刪除后，數(shù)據(jù)并沒有流入到文件殘留區(qū)或者 空閑空間中，因此采用傳統(tǒng)的恢復(fù)方法往往恢復(fù)效果不盡人意。我們在研究了復(fù)合文件格式的基礎(chǔ)上，提出了一種采用復(fù)合文件作為存儲結(jié)構(gòu)的IM刪除信息的恢復(fù)方法。該方法采用全局標(biāo)識的方法，盡最大可能的獲取了復(fù)合文件中未使用空間并進(jìn)行頂刪除信息恢復(fù)，從而使頂刪除信息的恢復(fù)更加完整和準(zhǔn)確。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種恢復(fù)準(zhǔn)確度高、恢復(fù)信息全面，通過全局標(biāo)識方法來恢復(fù)IM刪除信息的恢復(fù)方法。本發(fā)明是通過以下技術(shù)方案來實現(xiàn)的一種頂刪除信息的恢復(fù)方法，包括未使用空間數(shù)據(jù)的獲取方法和從未使用空間中恢復(fù)刪除數(shù)據(jù)的方法，其中
刪除的頂信息數(shù)據(jù)主要流入到復(fù)合文件的三個地方空閑扇區(qū)、文件殘留區(qū)、無目錄結(jié)構(gòu)對應(yīng)的扇區(qū)；
所述未使用空間數(shù)據(jù)的獲取方法由以下幾個步驟實現(xiàn)
a)預(yù)處理解析復(fù)合文件的頭部結(jié)構(gòu)，并獲取長扇區(qū)分配表SAT、短扇區(qū)分配表SSAT>以及長扇區(qū)的長度LSectorSize和短扇區(qū)長度LSectorSize,并用N=LSectorSize/LSectorSize表示長扇區(qū)長度是短扇區(qū)長度的多少倍，解析目錄流結(jié)構(gòu)，獲取復(fù)合文件中各個文件的對應(yīng)的扇區(qū)鏈；
b)空閑扇區(qū)的獲取空閑空間為扇區(qū)表中value為-I所對應(yīng)的扇區(qū)，因此獲取空閑空間的步驟為遍歷整個扇區(qū)表，將扇區(qū)表中value為-I對應(yīng)的扇區(qū)的數(shù)據(jù)放入到pUnusedBuffer ；
C)文件殘留區(qū)的獲?。槐闅v復(fù)合文件里面包含的所有文件，如果發(fā)現(xiàn)sectorsize*n
>filesize,則將該文件從偏移filesize到偏移sectorsize*n區(qū)間所包含的數(shù)據(jù)加入到pUnusedBuffer 中；
d)無目錄結(jié)構(gòu)對應(yīng)的扇區(qū)的獲取在扇區(qū)表中，有一些扇區(qū)鏈沒有被文件指向，這些鏈對應(yīng)的扇區(qū)就是無目錄結(jié)構(gòu)的扇區(qū)，在某些情況下，當(dāng)一些頂信息被刪除時，只是清空相應(yīng)的目錄結(jié)構(gòu)，扇區(qū)表中的扇區(qū)鏈并沒有清空，為了獲取這些扇區(qū)的信息，采用全局標(biāo)記的方法進(jìn)行獲?。?br> 所述從未使用空間中恢復(fù)刪除數(shù)據(jù)的方法由以下幾個步驟實現(xiàn)
A)刪除聊天記錄的恢復(fù)確定所獲取的pUnusedBuffer數(shù)據(jù)中是否包含正常的聊天記錄需要以下步驟
1)、初步判斷根據(jù)聊天記錄的格式，判斷總長度是否等于“0xl4+4+dwBlockLenl+4+dwBlockLen2，，；
2)、再次確認(rèn)對第二部分的數(shù)據(jù)進(jìn)行解密，判斷是否解密成功，并判斷解密后的頭8個字節(jié)為 0x4d, 0x53，0x47，0x00，0x00，0x00，0x00，0x00 ； 當(dāng)1)、2)步驟都判斷為是聊天記錄的格式是就開始按聊天記錄的格式去解析，解析完可進(jìn)一步判斷聊天記錄是好友、群還是討論組，具體做法為，根據(jù)第三部分?jǐn)?shù)據(jù)解出來的字段名和值的集合，在集合中查找"接收者帳號ID"對應(yīng)的值進(jìn)行判斷，通過分析正常聊天記錄的數(shù)據(jù)可知，群/討論組中的聊天記錄的接收者帳號為群/討論組的ID號，因此可在解析正常記錄時記錄所有群/討論組ID的集合，通過判斷接收者帳號是否在這個集合中來確定是否是群/討論組中的聊天記錄，如果不是群/討論組的聊天記錄，則根據(jù)對方的IM帳號ID進(jìn)行分組；
B)刪除好友/群/討論組信息記錄的恢復(fù)由于好友/群/討論組的信息保存在Info, db文件中，且Info, db中的數(shù)據(jù)大部分是有〃ES〃標(biāo)識的加密數(shù)據(jù)，所以通過解密"ES"數(shù)據(jù)塊進(jìn)行判斷。首先對數(shù)據(jù)塊的類型和長度進(jìn)行初步過濾，以免大量解密操作導(dǎo)致效率較慢，并對數(shù)據(jù)塊的數(shù)據(jù)進(jìn)行解密，如果解密成功，且數(shù)據(jù)是一條TD數(shù)據(jù)塊，則初步判斷為一條正常的記錄；
當(dāng)解析成功時可進(jìn)一步判斷該信息是屬于好友、群還是討論組的。具體做法為，對解密出來的TD數(shù)據(jù)塊解析，可得到一組字段名和組的集合，可以通過判斷是否同時存在一組字段來確定屬于什么類型；其中群成員信息存在"群身份標(biāo)識"字段，群信息同時存在"群標(biāo)識〃和〃群名稱〃字段，討論組及成員信息同時存在〃討論組ID"和〃討論組名稱〃字段，好友個人信息同時存在〃帳號ID"和〃性別〃字段。作為優(yōu)選，所述全局標(biāo)記的方法進(jìn)行獲取，其具體操作由以下幾個步驟組成
1)、將整個復(fù)合文件分成一塊一塊的，每塊的大小為SSectorSize，即每塊的大小為短扇區(qū)的大小；
2)、遍歷長扇區(qū)表，對于扇區(qū)表第i個位置的value如果為-I或者_(dá)2或者_(dá)3或者-4的話，則標(biāo)記第i*N+rTi*N+N的塊為被使用；
3)、從復(fù)合文件頭部獲取目錄流在扇區(qū)表中的起始ID，并獲取相應(yīng)的扇區(qū)鏈。根據(jù)獲取到的扇區(qū)鏈，針對扇區(qū)鏈中得每個節(jié)點(diǎn)將相應(yīng)的塊標(biāo)記為被使用。具體做法為對于該扇區(qū)鏈中的每個節(jié)點(diǎn)j，將j*N+N j*N+2N的塊標(biāo)志為被使用；
4)、遍歷復(fù)合文件中包含的所有文件得到每個文件對應(yīng)的扇區(qū)鏈，根據(jù)獲取到的扇區(qū)鏈，將相應(yīng)的塊標(biāo)記位被使用，如果獲取到的扇區(qū)鏈為短扇區(qū)鏈，則對于該扇區(qū)鏈中得每個節(jié)點(diǎn)j ，獲取到該短扇區(qū)所在的長扇區(qū)位置i，以及偏移k(彡k彡N-1)，并標(biāo)記第i*N+N+k塊為被使用，5)、遍歷所有的塊，將沒有被標(biāo)記為被使用的塊所對應(yīng)的數(shù)據(jù)加入到pUnusedBuffer
中
本發(fā)明IM刪除信息的恢復(fù)方法的有益效果是本發(fā)明提出了一種IM刪除信息的恢復(fù)方法， 該方法通過全局標(biāo)識方法，充分的挖掘了復(fù)合文件中的未使用空間并采用IM數(shù)據(jù)特征搜索方法進(jìn)行刪除信息恢復(fù)。與現(xiàn)有的IM刪除信息恢復(fù)軟件相比該方法具有恢復(fù)準(zhǔn)確度高、恢復(fù)信息全面的特點(diǎn)，通過該方法進(jìn)行頂刪除信息在最大程度上保證了刪除信息能被恢復(fù)出來。為其他采用復(fù)合文件結(jié)構(gòu)作為存儲結(jié)構(gòu)的文件的數(shù)據(jù)恢復(fù)提供了一種重要的思路，將廣泛應(yīng)用于相關(guān)數(shù)據(jù)刪除、數(shù)據(jù)解析領(lǐng)域。


圖I為空閑扇區(qū)獲取流程；
圖2為文件殘留區(qū)獲取流程 圖3為無目錄結(jié)構(gòu)扇區(qū)數(shù)據(jù)獲取流程 圖4為IM聊天記錄恢復(fù)流程 圖5為好友/群/討論組信息記錄恢復(fù)流程 圖6為未刪除前的恢復(fù)效果 圖7為刪除后的恢復(fù)效果 圖8為刪除后SafeAnalyze恢復(fù)效果圖。
具體實施例方式如圖I至圖8所示，本發(fā)明的一種頂刪除信息的恢復(fù)方法，包括未使用空間數(shù)據(jù)的獲取和從未使用空間中恢復(fù)刪除數(shù)據(jù)，其中
刪除的頂信息數(shù)據(jù)主要流入到復(fù)合文件的三個地方空閑扇區(qū)、文件殘留區(qū)、無目錄結(jié)構(gòu)對應(yīng)的扇區(qū)；對應(yīng)的解釋如下表所示
權(quán)利要求
1.一種頂刪除信息的恢復(fù)方法，其特征在于包括未使用空間數(shù)據(jù)的獲取方法和從未使用空間中恢復(fù)刪除數(shù)據(jù)的方法，其中 刪除的頂信息數(shù)據(jù)主要流入到復(fù)合文件的三個地方空閑扇區(qū)、文件殘留區(qū)、無目錄結(jié)構(gòu)對應(yīng)的扇區(qū)； 所述未使用空間數(shù)據(jù)的獲取方法由以下幾個步驟實現(xiàn) a)預(yù)處理解析復(fù)合文件的頭部結(jié)構(gòu)，并獲取長扇區(qū)分配表SAT、短扇區(qū)分配表SSAT>以及長扇區(qū)的長度LSectorSize和短扇區(qū)長度LSectorSize,并用N=LSectorSize/LSectorSize表示長扇區(qū)長度是短扇區(qū)長度的多少倍，解析目錄流結(jié)構(gòu)，獲取復(fù)合文件中各個文件的對應(yīng)的扇區(qū)鏈； b)空閑扇區(qū)的獲取空閑空間為扇區(qū)表中value為-I所對應(yīng)的扇區(qū)，因此獲取空閑空間的步驟為遍歷整個扇區(qū)表，將扇區(qū)表中value為-I對應(yīng)的扇區(qū)的數(shù)據(jù)放入到pUnusedBuffer ； C)文件殘留區(qū)的獲??；遍歷復(fù)合文件里面包含的所有文件，如果發(fā)現(xiàn)sectorsize*n> filesize,則將該文件從偏移filesize到偏移sectorsize*n區(qū)間所包含的數(shù)據(jù)加入到pUnusedBuffer 中； d)無目錄結(jié)構(gòu)對應(yīng)的扇區(qū)的獲取在扇區(qū)表中，有一些扇區(qū)鏈沒有被文件指向，這些鏈對應(yīng)的扇區(qū)就是無目錄結(jié)構(gòu)的扇區(qū)，在某些情況下，當(dāng)一些頂信息被刪除時，只是清空相應(yīng)的目錄結(jié)構(gòu)，扇區(qū)表中的扇區(qū)鏈并沒有清空，為了獲取這些扇區(qū)的信息，采用全局標(biāo)記的方法進(jìn)行獲??； 所述從未使用空間中恢復(fù)刪除數(shù)據(jù)的方法由以下幾個步驟實現(xiàn) A)刪除聊天記錄的恢復(fù)確定所獲取的pUnusedBuffer數(shù)據(jù)中是否包含正常的聊天記錄需要以下步驟 1)、初步判斷根據(jù)聊天記錄的格式，判斷總長度是否等于“0xl4+4+dwBlockLenl+4+dwBlockLen2，，； 2)、再次確認(rèn)對第二部分的數(shù)據(jù)進(jìn)行解密，判斷是否解密成功，并判斷解密后的頭8個字節(jié)為 0x4d, 0x53，0x47，0x00，0x00，0x00，0x00，OxOO ； 當(dāng)1)、2)步驟都判斷為是聊天記錄的格式是就開始按聊天記錄的格式去解析，解析完可進(jìn)一步判斷聊天記錄是好友、群還是討論組，具體做法為，根據(jù)第三部分?jǐn)?shù)據(jù)解出來的字段名和值的集合，在集合中查找"接收者帳號ID"對應(yīng)的值進(jìn)行判斷，通過分析正常聊天記錄的數(shù)據(jù)可知，群/討論組中的聊天記錄的接收者帳號為群/討論組的ID號，因此可在解析正常記錄時記錄所有群/討論組ID的集合，通過判斷接收者帳號是否在這個集合中來確定是否是群/討論組中的聊天記錄，如果不是群/討論組的聊天記錄，則根據(jù)對方的IM帳號ID進(jìn)行分組； B)刪除好友/群/討論組信息記錄的恢復(fù)由于好友/群/討論組的信息保存在Info, db文件中，且Info, db中的數(shù)據(jù)大部分是有〃ES〃標(biāo)識的加密數(shù)據(jù)，所以通過解密"ES"數(shù)據(jù)塊進(jìn)行判斷； 首先對數(shù)據(jù)塊的類型和長度進(jìn)行初步過濾，以免大量解密操作導(dǎo)致效率較慢，并對數(shù)據(jù)塊的數(shù)據(jù)進(jìn)行解密，如果解密成功，且數(shù)據(jù)是一條TD數(shù)據(jù)塊，則初步判斷為一條正常的記錄；當(dāng)解析成功時可進(jìn)一步判斷該信息是屬于好友、群還是討論組的； 具體做法為，對解密出來的TD數(shù)據(jù)塊解析，可得到一組字段名和組的集合，可以通過判斷是否同時存在一組字段來確定屬于什么類型；其中群成員信息存在"群身份標(biāo)識"字段，群信息同時存在〃群標(biāo)識〃和〃群名稱〃字段，討論組及成員信息同時存在〃討論組ID"和〃討論組名稱〃字段，好友個人信息同時存在〃帳號ID"和〃性別〃字段。
2.根據(jù)權(quán)利要求I所述的IM刪除信息的恢復(fù)方法，其特征在于所述全局標(biāo)記的方法進(jìn)行獲取，其具體操作由以下幾個步驟組成 1)、將整個復(fù)合文件分成一塊一塊的，每塊的大小為SSectorSize，即每塊的大小為短扇區(qū)的大??； 2)、遍歷長扇區(qū)表，對于扇區(qū)表第i個位置的value如果為-I或者_(dá)2或者_(dá)3或者-4的話，則標(biāo)記第i*N+rTi*N+N的塊為被使用； 3)、從復(fù)合文件頭部獲取目錄流在扇區(qū)表中的起始ID，并獲取相應(yīng)的扇區(qū)鏈； 根據(jù)獲取到的扇區(qū)鏈，針對扇區(qū)鏈中得每個節(jié)點(diǎn)將相應(yīng)的塊標(biāo)記為被使用； 具體做法為對于該扇區(qū)鏈中的每個節(jié)點(diǎn)j，將j*N+N、*N+2N的塊標(biāo)志為被使用； 4)、遍歷復(fù)合文件中包含的所有文件得到每個文件對應(yīng)的扇區(qū)鏈，根據(jù)獲取到的扇區(qū)鏈，將相應(yīng)的塊標(biāo)記位被使用，如果獲取到的扇區(qū)鏈為短扇區(qū)鏈，則對于該扇區(qū)鏈中得每個節(jié)點(diǎn)j，獲取到該短扇區(qū)所在的長扇區(qū)位置 ,以及偏移k(彡k彡N-1),并標(biāo)記第i*N+N+k塊為被使用， 5)、遍歷所有的塊，將沒有被標(biāo)記為被使用的塊所對應(yīng)的數(shù)據(jù)加入到pUnusedBuffer中。
全文摘要
本發(fā)明公開了一種IM刪除信息的恢復(fù)方法，包括未使用空間數(shù)據(jù)的獲取和從未使用空間中恢復(fù)刪除數(shù)據(jù)，其中刪除的IM信息數(shù)據(jù)主要流入到復(fù)合文件的三個地方空閑扇區(qū)、文件殘留區(qū)、無目錄結(jié)構(gòu)對應(yīng)的扇區(qū)；只要獲取到未使用空間數(shù)據(jù)以后，接下來就可以解析里面的數(shù)據(jù)；本發(fā)明通過全局標(biāo)識方法，充分的挖掘了復(fù)合文件中的未使用空間并采用IM數(shù)據(jù)特征搜索方法進(jìn)行刪除信息恢復(fù)，與現(xiàn)有的IM刪除信息恢復(fù)軟件相比該方法具有恢復(fù)準(zhǔn)確度高、恢復(fù)信息全面的特點(diǎn)，通過該方法進(jìn)行IM刪除信息在最大程度上保證了刪除信息能被恢復(fù)出來，為其他采用復(fù)合文件結(jié)構(gòu)作為存儲結(jié)構(gòu)的文件的數(shù)據(jù)恢復(fù)提供了一種重要的思路，將廣泛應(yīng)用于相關(guān)數(shù)據(jù)刪除、數(shù)據(jù)解析領(lǐng)域。
文檔編號G06F17/30GK102902814SQ20121040743
公開日2013年1月30日 申請日期2012年10月24日 優(yōu)先權(quán)日2012年10月24日
發(fā)明者沈長達(dá), 沈少凡, 林藝濱, 錢鏡潔 申請人:廈門市美亞柏科信息股份有限公司