Android手機數據恢復方法研究綜述

楊陽

摘 要： 如何從已刪除或損壞的數據中提取與恢復數據是手機取證的重要課題之一。研究了Android手機的SQLite數據存儲結構和尋址Btree頁的樹形結構，通過遍歷葉子頁的方法來恢復已刪除數據；介紹了國內外數據恢復方法研究現狀，為進一步研究Android手機數據恢復提供參考。

關鍵詞： 手機取證； Android手機； 數據存儲； 數據恢復

中圖分類號：TP309 文獻標志碼：A 文章編號：1006-8228（2017）04-29-03

Abstract： How to extract and recover data from deleted or corrupted data is one of the most important issues in mobile phone forensics. This paper studies the SQLite data storage structure and the addressing of the Btree page tree structure of Android mobile phone， to recovery the deleted data by traversing the leaf pages. The research status of domestic and foreign data recovery methods are introduced， which provide the reference for the further research of Android mobile phone data recovery.

Key words： mobile phone forensic； Android mobile phone； data storage； data recovery

0 引言

隨著移動通信技術的發展和智能手機的普及，手機犯罪呈高發態勢。據Gartner的數據顯示[1]，2015年Android手機市場占有率高達80%，所以Android手機已經成為主要的數據取證源之一。如何從Android手機中提取和恢復數據，成為司法取證的一個課題。本文主要基于Android系統，歸納主流的手機數據恢復技術，概括國內外研究成果與現狀，并對Android手機數據恢復技術發展作了總結與展望。

1 手機數據存儲分類

根據Android手機內部存儲機制，手機數據存儲方式主要分為內部存儲和外部存儲兩種。其中內部存儲主要有SIM卡和手機機身內存，外部存儲主要有手機外部存儲卡。此外，短信服務提供商和移動網絡運營商也包含相對應的有效信息。

⑴ SIM卡即手機卡。也稱客戶識別模塊卡，主要用來鑒別網絡用戶身份信息，存儲客戶信息等。卡上所有的數據都是以文件的形式存儲在卡上相應的數據存儲區域，其中SIM卡里存儲的數據由四部分組成。第一部分是固定存放的數據。該類數據信息在移動設備被出售之前由SIM卡中心提前寫入。包含國際移動用戶識別號、鑒權密鑰、加密算法等一些固定不變的信息。第二部分是暫時存放的相關網絡數據。如LAI（位置區域識別碼）、TMSI（移動用戶暫時識別碼）、禁止接入的公共電話網代碼等。第三部分是與業務相關的代碼，如PIN（個人識別碼）、PUK（解鎖碼）、計費費率等。第四部分是用戶存儲的電話號碼簿信息。比如手機用戶隨時輸入的電話號碼等。

⑵ 手機內存。手機內存分為兩塊：RAM（動態存儲區）和ROM（靜態存儲區）。其中，動態存儲區又稱隨機存儲區，用來臨時保存數據，突然斷電時會丟失存放的數據信息；靜態存儲區又稱只讀存儲區，用來存放用戶數據文件，對突然出現斷電的情況也不受影響，起到保護的作用。

⑶ 手機擴展存儲卡。手機擴展存儲卡通常使用FAT文件系統，常用的外置存儲卡有TF卡、CF卡等，屬于閃存卡。手機擴展存儲卡是為了擴大手機內存容量，減少手機自身內存占用，一般用來存放大量的音頻、視頻、圖片等文件，如果對這些信息進行恢復，往往也能獲得有價值的線索。

2 基于SQLite的數據恢復方法

SQLite數據庫在Android手機中應用廣泛，具有量級輕、資源占用率低、易移植等優點。在Android系統中，大部分數據存放在SQLite數據庫中，比如短消息、通訊錄和通話錄等，這些數據有較多價值。所以本文以SQLite數據庫為研究對象，描述SQLite數據庫的存儲原理及數據恢復方法。

2.1 SQLite存儲原理

從SQLite存儲機制來看，頁是SQLite數據庫的最基本存儲單元。SQLite文件主要由一個或幾個固定大小的頁所構成。頁由空閑頁、溢出頁及Btree頁構成。由于SQLite數據庫主要采用Btree樹形結構，所以SQLite數據庫文件主要由多個Btree文件所構成。數據庫中第一個頁（page 1）永遠是Btree頁。第一頁的前100個字節作為“文件頭”，描述數據庫文件的版本、格式的版本、頁大小、編碼等所有創建數據庫時設置的永久性參數信息。SQLite數據庫文件頭結構如表1所示。

其中恢復刪除的一個重要前提就是定位刪除數據的位置。通常的方法是根據Btree葉內部存儲機制和樹形邏輯結構，定位出存放在SQLite的底層數據信息。根據Btree頁的樹狀邏輯形狀可知，Btree頁從上至下由根頁、內部頁、葉子頁組成。Btree頁的根頁和內部頁僅作為數據結構的路徑導航，并不存儲數據信息。包含關鍵字的數據區域指針指向下一個樹形路徑的頁。在葉子頁，記錄和頁按鍵值順序排列，以便數據遍歷結果，同時根頁和內部頁均指向下一層路徑的頁。所以，對被刪除數據進行數據恢復的一般方法是：首先找到刪除數據所在的根頁，然后根據內部頁的地址，搜索到葉子頁的地址，因為被刪除數據的信息是存儲在葉子頁上面的，最后通過遍歷葉子頁的方法提取到已刪除的數據信息。Btree頁的樹形結構如圖1所示。

2.2 SQLite數據恢復方法

依據SQLite數據庫文件中數據的存儲原理，可通過已刪除數據存儲的邏輯結構，層層推導，從SQLite文件數據存儲中查找到已刪除數據地址從而進行提取和恢復。SQLite數據恢復步驟如下：

⑴ 查詢刪除數據的表名。根據Android系統開源的特性，按照數據文件存儲特性來定位所在的表名，可以很方便根據數據庫一級級目錄或者通過數據庫操作指令找到刪除數據的表名。

⑵ 查找該表所對應的根頁。數據庫中的表不盡相同，要想準確定位表的信息，需要找到該表的起始地址和結束地址。根據Btree頁的存儲結構，這就要查找該表所對應的根頁地址。

⑶ 查找樹的結點頁和葉子結點。根據Btree頁的樹形邏輯結構，樹形路徑中的頁均由上一層頁中的數據域指針所指引，Btree頁的內部頁和根頁僅為數據結構提供指向作用，這些通過遍歷的方法一直查找到已刪除數據葉子頁的地址，然后推導出上一級內部頁所對應的葉子頁的初始地址和結束地址。

⑷ 查找freeblock塊提取信息。當數據被刪除后，根據SQLite數據庫的內部存儲原理，實際上并沒有完全清空，而是形成了freeblock塊。根據查找到的葉子頁的地址信息，通過葉子頁的起始地址和結束地址就可以找到freeblock塊從而恢復出被刪除信息，或者在未分配區域中恢復被刪除信息。

3 國內外研究現狀

國際上的數據恢復技術起步較早，成熟度較高。2005年，McCarthy Paul[2]重點研究在得不到ROOT權限的前提下，通過邏輯方法在當前權限范圍內提取相關的數據信息。與“邏輯提取”相對應的是“物理提取”，即運用相應技術手段從底層數據存儲文件或者原始鏡像文件中提取并恢復已刪除的數據。2006年Willassen[3]以及2007年Breeuwsma[4]等，分別提出直接從手機芯片讀取原始信息，優點是在數據覆蓋前提取，保證了數據的原始性和有效性。此方法的困難是技術系數較高，需要復雜的數據環境和非常專業的技術人員。2012年Sangjun Jeon[5]針對電子證據中最有價值的短消息數據，重點定位短信息的數據單元，通過尋址已刪除短信息區域，通過“暴力估算”方法對未被覆蓋的單元已刪除數據進行恢復。

國內方面，王隨剛[6]等通過對SQLite3數據庫內部存儲結構的綜合分析，尋址到刪除的歷史記錄，完成目標區域數據的提取；蘭州理工大學的方東蓉[7]等人提出“盡最大努力恢復”這一新型恢復方法，通過粒度細化來檢驗恢復數據的完整性。武貝貝[8]等人基于存儲介質NAND恢復用戶歷史信息，構建行為事件軸來模擬真實環境，從而有效地提取刪除信息。劉思思[9]等人提出了一個基于Android系統的手機取證系統的模型，并對短信、通訊薄、日歷、地理位置等手機信息進行提取與恢復。葉亦陶[10]等人用EASYRECOVERY軟件作為恢復工具，對主流手機操作系統進行數據提取與恢復。總之國內的數據恢復技術雖然起步較晚，但是發展迅速。如廈門美亞柏科、杭州安恒信息、北京華恒信安等，這些公司已有許多恢復手機數據的成熟產品上市。

4 結束語

近年來，隨著電子證據作為法律重要證據之一，手機取證技術越來越成熟，越來越規范。面對復雜的手機信息環境，Android手機數據恢復技術不僅要嚴格按照法律程序，向規范化、標準化邁進，避免出現因程序不規范而失去法律效力的情況，同時要求數據恢復技術更有效、更準確、更快捷。本文針對市場占有率高的Android手機，詳細論述了基于SQLite數據庫的數據恢復方法，具有普遍性和易操作性。下一步研究的內容是如何在復雜的存儲環境中提高恢復率和提取率，如何利用系統漏洞突破技術壁壘。

參考文獻（References）：

[1] 百度文庫. 2015年全球智能手機銷售據.[DB/OL].http：//wenku.baidu.com/view/cb2288c3a8114431b80dd80d.html，2016-02-23.

[2] McCarthy Paul. Forensic Analysis of Mobile Phone[D].University of South Australia，2005.

[3] Willassen Svein. Forensic Analysis of Mobile PhoneInternal Memory[J]. Advances in Digital Forensics，2005.194：191-204

[4] Breeuwsma Marcel， de Jongh Martien， Klaver Coert.Forensic Data Recovery from Flash Memory[J].Small Scale Digital Device Forensics Journal，2007.1：1-17

[5] Sangjun Jeon，Jewan Bang，Keunduck Byun. A Recovery Method of Deleted Record for SQLite Database[J].Pers Ubiquit Comput，2012.16（6）：707-715

[6] 王隨剛，吳莎莎，李昂.基于SQLite3的Android手機數據恢復技術的研究[J].警察技術，2012.5：4-7

[7] 方冬蓉.基于Android手機的數據恢復方法研究及應用[D].蘭州理工大學，2014.

[8] 武貝貝.面向NAND閃存的SQLite 數據恢復技術研究與應用[D].杭州電子科技大學，2013.

[9] 劉思思.基于Android系統的手機信息提取與恢復研究[D].武漢郵電科學研究院，2014.

[10] 葉亦陶，斯進.手機數據存儲和恢復方法研究[J].信息網絡安全，2012.3：35-37