技術(shù)領(lǐng)域

本發(fā)明涉及一種手機數(shù)據(jù)取證系統(tǒng)，屬于通訊技術(shù)領(lǐng)域。

背景技術(shù)

智能手機的迅速普及為人們帶來了巨大的便利，手機存儲了極多的個人信息，目前手機已經(jīng)成為人們?nèi)粘Ｉ畹谋匦杵贰?/p>

由于公安部門實戰(zhàn)工作需要，針對重點目標，一般需要獲取手機中的數(shù)據(jù)信息，包括所有未刪除的和已刪除的數(shù)據(jù)信息，比如：通訊錄、短信、通話記錄、微信、QQ、照片等。

但是，現(xiàn)有技術(shù)中，目前針對手機的取證工作主要還是以人為觀察為主，不僅效率低下，而且很容易出錯，同時會漏掉隱藏的被刪除的信息。因此，如何獲取手機中的包括已刪除數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)信息，是本領(lǐng)域技術(shù)人員致力于解決的難題。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是如何獲取手機中的包括已刪除數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)信息。

為了解決上述技術(shù)問題，本發(fā)明的技術(shù)方案是提供一種手機數(shù)據(jù)取證系統(tǒng)，其特征在于：包括中央處理單元，中央處理單元連接數(shù)據(jù)獲取單元、數(shù)據(jù)存儲單元、數(shù)據(jù)恢復(fù)單元；

數(shù)據(jù)獲取單元包括數(shù)據(jù)尋址模塊和數(shù)據(jù)讀取模塊，數(shù)據(jù)尋址模塊和數(shù)據(jù)讀取模塊的輸入端均用于與手機相連，數(shù)據(jù)尋址模塊和數(shù)據(jù)讀取模塊輸出端均與所述中央處理單元相連。

優(yōu)選地，所述數(shù)據(jù)讀取模塊讀取手機中存儲介質(zhì)上所有的現(xiàn)存數(shù)據(jù)信息，并發(fā)送給中央處理單元，中央處理單元將所述現(xiàn)存數(shù)據(jù)信息存貯在數(shù)據(jù)存儲單元中；

所述數(shù)據(jù)尋址模塊對手機進行ROOT操作，讀取出手機中數(shù)據(jù)庫的DB文件，按照原始順序進行排序，并發(fā)送至中央處理單元；中央處理單元查找DB文件中存在的所有表以及各個表對應(yīng)的導(dǎo)航頁和數(shù)據(jù)頁，判斷各個表的數(shù)據(jù)頁中是否有被刪除的數(shù)據(jù)；針對有被刪除數(shù)據(jù)情況的數(shù)據(jù)頁，通過數(shù)據(jù)恢復(fù)單元依據(jù)復(fù)原算法查找其被刪除的數(shù)據(jù)，并恢復(fù)各條被刪除的數(shù)據(jù)前面正確的指針地址，同時重建該有被刪除數(shù)據(jù)情況的數(shù)據(jù)頁開頭的各條數(shù)據(jù)的指針。

優(yōu)選地，還包括數(shù)據(jù)校驗單元，數(shù)據(jù)校驗單元對數(shù)據(jù)恢復(fù)后的DB文件是否正確進行校驗；如果不正確，則中央處理單元命令數(shù)據(jù)恢復(fù)單元重新進行數(shù)據(jù)恢復(fù)工作。

優(yōu)選地，還包括數(shù)據(jù)顯示單元，數(shù)據(jù)顯示單元顯示手機中存儲介質(zhì)上所有的現(xiàn)存數(shù)據(jù)信息，以及數(shù)據(jù)恢復(fù)后的DB文件中所有的數(shù)據(jù)信息。

本發(fā)明提供的系統(tǒng)克服了現(xiàn)有技術(shù)的不足，結(jié)構(gòu)簡單，功能完善，數(shù)據(jù)恢復(fù)完整且數(shù)據(jù)恢復(fù)的效率高，能直接為司法取證以及實際工作需求提供有效的幫助，便于大規(guī)模推廣應(yīng)用。

附圖說明

圖1為本實施例提供的手機數(shù)據(jù)取證系統(tǒng)結(jié)構(gòu)示意圖。

具體實施方式

下面結(jié)合具體實施例，進一步闡述本發(fā)明。應(yīng)理解，這些實施例僅用于說明本發(fā)明而不用于限制本發(fā)明的范圍。此外應(yīng)理解，在閱讀了本發(fā)明講授的內(nèi)容之后，本領(lǐng)域技術(shù)人員可以對本發(fā)明作各種改動或修改，這些等價形式同樣落于本申請所附權(quán)利要求書所限定的范圍。

圖1為本實施例提供的手機數(shù)據(jù)取證系統(tǒng)結(jié)構(gòu)示意圖，所述的手機數(shù)據(jù)取證系統(tǒng)包括中央處理單元，中央處理單元連接數(shù)據(jù)獲取單元、數(shù)據(jù)存儲單元、數(shù)據(jù)恢復(fù)單元、數(shù)據(jù)校驗單元和數(shù)據(jù)顯示單元。

數(shù)據(jù)獲取單元包括數(shù)據(jù)尋址模塊和數(shù)據(jù)讀取模塊。數(shù)據(jù)尋址模塊和數(shù)據(jù)讀取模塊的輸入端均通過USB數(shù)據(jù)線與手機相連，數(shù)據(jù)尋址模塊和數(shù)據(jù)讀取模塊輸出端均與中央處理單元相連。

數(shù)據(jù)讀取模塊讀取手機中存儲介質(zhì)上所有的現(xiàn)存數(shù)據(jù)信息，并發(fā)送給中央處理單元，中央處理單元將這些數(shù)據(jù)信息存貯在數(shù)據(jù)存儲單元中。

數(shù)據(jù)尋址模塊對手機進行ROOT操作，讀取出手機中數(shù)據(jù)庫的DB文件，按照原始順序進行排序，保證文檔的完整性和可靠性，并發(fā)送至中央處理單元；中央處理單元查找DB文件中存在的所有表以及各個表對應(yīng)的導(dǎo)航頁和數(shù)據(jù)頁，判斷各個表的數(shù)據(jù)頁中是否有被刪除的數(shù)據(jù)；針對有被刪除數(shù)據(jù)情況的數(shù)據(jù)頁，通過數(shù)據(jù)恢復(fù)單元依據(jù)復(fù)原算法查找其被刪除的數(shù)據(jù)，并恢復(fù)各條被刪除的數(shù)據(jù)前面正確的指針地址，同時重建該有被刪除數(shù)據(jù)情況的數(shù)據(jù)頁開頭的各條數(shù)據(jù)的指針。

數(shù)據(jù)校驗單元對數(shù)據(jù)恢復(fù)后的DB文件是否正確進行校驗。如果不正確，則數(shù)據(jù)恢復(fù)單元重新進行數(shù)據(jù)恢復(fù)工作。

數(shù)據(jù)顯示單元顯示手機中存儲介質(zhì)上所有的現(xiàn)存數(shù)據(jù)信息，以及數(shù)據(jù)恢復(fù)后的DB文件中所有的數(shù)據(jù)信息，包括：手機名稱和系統(tǒng)版本，通訊錄、備忘錄、短信、通話記錄、日歷、提醒事宜，微信、QQ、Safari，手機內(nèi)照片、語音備忘錄、短信附件、微信附件等，為司法取證以及實際工作需求提供有效的幫助。