本發明給出了一種基于JFFS2文件系統的文件增刪改痕跡分析方法及系統，包括通過提取JFFS2文件系統中的一個文件信息節點，根據所述文件信息節點的文件唯一標識ID提取具有與所述文件唯一標識ID相同的所屬文件ID的數據節點，將所有所述數據節點組成集合SD；再提取所述集合SD中的一個數據節點記為數據節點Dsubgt;N/subgt;；最后根據所述數據節點Dsubgt;N/subgt;的文件大小iSize、所屬文件數據偏移offset和原始數據解壓長度dsize之間的關系判斷所述文件信息節點中文件名所指向的文件的增加、刪除和修改狀態。實現了對JFFS2文件系統的文件數據在各歷史時段的增刪改痕跡的深度分析，對電子數據取證及數據具有重大的意義。

技術領域

本發明涉及計算機取證安全技術領域，尤其是一種基于JFFS2文件系統的文件增刪改痕跡分析方法及系統。

背景技術

JFFS2作為閃存FLASH上使用非常廣泛的嵌入式文件系統，在嵌入式系統中被普遍應用。隨著物聯網技術的發展與普及，對于JFFS2文件系統的文件數據痕跡分析在智能設備安全及網絡信息安全領域將是一個備受關注的熱點。本方案基于JFFS2文件系統日志型節點特性提出一種文件增刪改痕跡分析方法，既提取JFFS2文件系統文件日志節點元數據信息：如文件大小、偏移值、節點版本號、創建修改時間等綜合分析出文件增刪改操作痕跡。

JFFS2文件數據被寫入時，對應的數據及節點信息會被分片存儲在不同區域。目前，缺乏針對JFFS2文件系統文件增刪改操作痕跡的分析方法。本文在對JFFS2文件系統結構分析測試的基礎上，提出了一種JFFS2文件增刪改痕跡分析方法，該方法基于JFFS2文件系統日志節點元數據信息，如文件大小、偏移值、節點版本號、創建修改時間等綜合分析出文件增刪改操作痕跡，從而達到對文件數據操作歷史痕跡分析目的。

發明內容

本發明提出了一種基于JFFS2文件系統的文件增刪改痕跡分析方法及系統，以解決上文提到的現有技術的缺陷。

在一個方面，本發明提出了一種基于JFFS2文件系統的文件增刪改痕跡分析方法，該方法包括以下步驟：

S1：提取JFFS2文件系統中的一個文件信息節點，根據所述文件信息節點的文件唯一標識ID提取具有與所述文件唯一標識ID相同的所屬文件ID的數據節點，將所有所述數據節點組成集合SD；

S2：提取所述集合SD中的一個數據節點記為數據節點D_N；

S3:根據所述數據節點D_N的文件大小iSize、所屬文件數據偏移offset和原始數據解壓長度dsize之間的關系判斷所述文件信息節點中文件名所指向的文件的增加、刪除和修改狀態。

以上方法基于JFFS2文件系統日志節點元數據信息，如文件大小、偏移值、節點版本號、創建修改時間等綜合分析出文件增刪改操作痕跡，從而達到對文件數據操作歷史痕跡分析目的。實現了對JFFS2文件系統的文件數據在各歷史時段的增刪改痕跡的深度分析，對電子數據取證及數據具有重大的意義。

在具體的實施例中，所述步驟S3具體包括：

提取所述數據節點D_N的時間、文件大小iSize、所屬文件數據偏移offset和原始數據解壓長度dsize：

當iSize＝offset+dsize且offset及dsize值非零時，表示所述文件信息節點中文件名所指向的文件在所述時間內有內容的新增；

當iSizeoffset+dsize且offset及dsize值非零時，表示所述文件信息節點中文件名所指向的文件在所述時間內有內容的修改；

當iSize、offset及dsize值都為零時，表示所述文件信息節點中文件名所指向的文件在所述時間內有內容被刪除。