1.一種基于JFFS2文件系統(tǒng)的文件增刪改痕跡分析方法，其特征在于，包括以下步驟：

S1：提取JFFS2文件系統(tǒng)中的一個(gè)文件信息節(jié)點(diǎn)，根據(jù)所述文件信息節(jié)點(diǎn)的文件唯一標(biāo)識(shí)ID提取具有與所述文件唯一標(biāo)識(shí)ID相同的所屬文件ID的數(shù)據(jù)節(jié)點(diǎn)，將所有所述數(shù)據(jù)節(jié)點(diǎn)組成集合SD；

所述步驟S1中提取JFFS2文件系統(tǒng)中的一個(gè)文件信息節(jié)點(diǎn)，具體包括：

獲取JFFS2文件系統(tǒng)的所有文件信息節(jié)點(diǎn)并組成集合FL＝{F1,F2,F3,...,FN}，依次提取所述集合FL中的文件信息節(jié)點(diǎn)，其中F1,F2,F3,...,FN表示各文件信息節(jié)點(diǎn)；

S2：提取所述集合SD中的一個(gè)數(shù)據(jù)節(jié)點(diǎn)記為數(shù)據(jù)節(jié)點(diǎn)D_N；

所述步驟S2的具體步驟包括：

對(duì)所述集合SD中的數(shù)據(jù)節(jié)點(diǎn)按照版本號(hào)從小到大的順序進(jìn)行排序，再根據(jù)所述版本號(hào)從小到大依次提取數(shù)據(jù)節(jié)點(diǎn)并記為數(shù)據(jù)節(jié)點(diǎn)DN，同時(shí)執(zhí)行所述步驟S3；

S3:根據(jù)所述數(shù)據(jù)節(jié)點(diǎn)D_N的文件大小iSize、所屬文件數(shù)據(jù)偏移offset和原始數(shù)據(jù)解壓長(zhǎng)度dsize之間的關(guān)系判斷所述文件信息節(jié)點(diǎn)中文件名所指向的文件的增加、刪除和修改狀態(tài)；當(dāng)所述集合FL中的文件信息節(jié)點(diǎn)都被提取過(guò)，JFFS2文件系統(tǒng)中文件的增加、刪除和修改狀態(tài)分析完成；

所述步驟S3具體包括：

提取所述數(shù)據(jù)節(jié)點(diǎn)DN的時(shí)間、文件大小iSize、所屬文件數(shù)據(jù)偏移offset和原始數(shù)據(jù)解壓長(zhǎng)度dsize：

當(dāng)iSize＝offset+dsize且offset及dsize值非零時(shí)，表示所述文件信息節(jié)點(diǎn)中文件名所指向的文件在所述時(shí)間內(nèi)有內(nèi)容的新增；

當(dāng)iSizeoffset+dsize且offset及dsize值非零時(shí)，表示所述文件信息節(jié)點(diǎn)中文件名所指向的文件在所述時(shí)間內(nèi)有內(nèi)容的修改；

當(dāng)iSize、offset及dsize值都為零時(shí)，表示所述文件信息節(jié)點(diǎn)中文件名所指向的文件在所述時(shí)間內(nèi)有內(nèi)容被刪除。