1.一種Android系統隱私數據恢復實現方法，其特征在于，通過對無法獲得文件系統信息的磁盤鏡像進行數據塊劃分，然后依次從數據塊中提取出結構特征和語義特征，并進一步篩選出SQLite3文件頭數據塊和SQLite3頁數據塊，經分割和重組恢復出原始文件；該方法具體包括以下步驟：

1)通過對原始數據的分析，對原始數據進行數據塊的劃分；

2)根據需要恢復的隱私數據文件，從數據塊中提取出用于恢復隱私數據文件的結構特征、語義特征；

3)通過上下文無關的結構特征和語義特征，從原始數據塊中依次篩選出SQLite3文件頭數據塊或SQLite3頁數據塊；

4)對步驟3篩選出的數據塊進行分割和重組，恢復出原文件；

所述的劃分包括以下步驟：

1.1)在原始數據尋找常見的文件格式頭；

1.2)以文件頭為基準對原始數據進行對齊，以文件頭的起始偏移作為一個數據塊的起點；

1.3)以4KB大小對整個原始數據進行劃分，不足4KB的部分作為無法利用的數據塊并拋棄；

所述的提取包括以下步驟：

2.1)根據SQLite3數據庫文件的固定格式，利用內建結構特征庫，提取出上下文無關的頁結構特征，然后利用內建結構庫，提取出上下文相關的SQLite3文件結構特征；

2.2)根據要具體恢復的隱私數據類型，利用內建結構特征庫，提取出上下文無關的數據記錄結構特征；

所述的篩選包括以下步驟：

3.1)比對待檢測的數據塊是否符合SQLite3文件頭的結構，即比對固定偏移處是否為SQLite3文件頭的固定字符，通過結構判斷的數據塊被定義為SQLite3文件頭數據塊；

3.2)當未通過步驟3.1檢測的數據塊進行下一步檢測，判斷待檢測數據塊是否符合SQLite3頁的結構，通過遍歷數據快以判斷其是否為SQLite3的頁的結構，當在遍歷過程中全部匹配時，判斷該數據塊為一個SQLite3頁數據塊；

3.3)未通過步驟3.2的數據塊則被認為是無用的數據塊并拋棄；

所述的分割和重組包括以下步驟：

4.1)首先根據在原始磁盤鏡像中偏移，將篩選出的SQLite3文件頭數據塊和SQLite頁數據塊歸并為若干個連續的數據塊組；

4.2)對數據塊組進行第一次篩選，選出以SQLite3頭數據塊起始的數據塊組，每一個這樣的數據塊組對應了原磁盤鏡像中的一個SQLite3數據庫文件，對每一個這樣的數據塊組進行完整性判斷，完整性判斷包括文件大小和文件邏輯結構完整性，當一個數據塊組能夠同時滿足文件大小和文件邏輯結構的完整，則表示該數據塊組是一個完整的SQLite3數據庫文件，將該文件作為恢復結果保存，否則執行步驟4.3；

4.3)對沒有能通過大小和邏輯結構完整性檢測的以SQLite3頭數據塊為起始的數據塊組進行重組，即根據SQLite3數據庫文件的樹狀結構，對數據塊組進行遍歷，當遍歷到的數據塊有缺失時，從其它不以SQLite3數據塊為起始的數據塊組中挑選頁內結構最為相似的數據塊組進行連接，連接后若能通過大小和邏輯結構完整性測試，則成功恢復出一個完整的SQLite3數據庫文件，將該文件作為恢復結果保存，若連接后未能通過大小和邏輯結構完整性測試，則更換連接的數據塊組再次測試，重復這個過程直到成功或者已經沒有數據塊組可以替換，當沒有數據塊組可以替換時，表示該數據庫文件的恢復失敗；

所述的數據記錄結構特征包括：短信數據庫的數據結構、聯系人數據庫的數據結構、郵件數據庫的數據結構、密鑰鏈數據庫的數據結構、日歷數據庫的數據結構和系統設置數據庫的數據結構；

所述的歸并，在原始磁盤鏡像中地址相鄰的數據塊屬于同一個數據塊組，數據塊組內部的數據塊的順序和數據塊在原始磁盤鏡像中的順序保持一致；

所述的文件大小和文件邏輯結構完整性，包括：文件大小的完整和文件邏輯結構的完整，具體為：在SQLite3文件頭中特定偏移處的值描述了整個SQLite3文件的大小，若恢復出的文件大小和對應文件頭內描述的文件大小相一致，則表明恢復出的文件大小完整；SQLite3文件內部為樹狀結構，通過使用開源的SQLite3接口可以使用SQLite3自帶的完整性校驗功能，該完整性校驗功能會從邏輯上判斷SQLite3內部結構是否完整，若恢復出的文件能夠通過該完整性校驗，則認為恢復出的文件在邏輯結構上完整；

針對已擦除的數據碎片，即恢復失敗的數據庫文件和沒有被使用的數據塊組可進一步選擇進行數據搶救，具體為：對于每一個沒有恢復成功的數據庫文件和沒有被使用的數據塊組，通過遍歷頁內部鏈表的方式，將其中所有數據塊中的數據記錄提取出來，根據數據記錄結構的不同，將這些數據庫記錄進行分類保存，方便進行人工瀏覽。