一種IM刪除信息的恢復方法技術

本發明專利技術公開了一種IM刪除信息的恢復方法，包括未使用空間數據的獲取和從未使用空間中恢復刪除數據，其中：刪除的IM信息數據主要流入到復合文件的三個地方：空閑扇區、文件殘留區、無目錄結構對應的扇區；只要獲取到未使用空間數據以后，接下來就可以解析里面的數據；本發明專利技術通過全局標識方法，充分的挖掘了復合文件中的未使用空間并采用IM數據特征搜索方法進行刪除信息恢復，與現有的IM刪除信息恢復軟件相比該方法具有恢復準確度高、恢復信息全面的特點，通過該方法進行IM刪除信息在最大程度上保證了刪除信息能被恢復出來，為其他采用復合文件結構作為存儲結構的文件的數據恢復提供了一種重要的思路，將廣泛應用于相關數據刪除、數據解析領域。

【技術實現步驟摘要】
本專利技術屬于信息安全與計算機應用
，涉及一種IM刪除信息的恢復方法。
技術介紹
采用復合文件作為存儲結構的IM刪除信息的恢復，目前國內研究比較少，較為完整的技術文檔和相關專利也較少。目前市場上已有IM刪除信息恢復的軟件，但是局限性很大，而且目前沒有發現頂刪除信息恢復相關公開的技術文檔或專利。SafeAnalyzer是一款具備IM刪除信息恢復的軟件，但是由于對存儲IM信息的復合文件中的未使用空間挖掘不充分，導致只能恢復出部分的IM刪除信息。IM刪除信息恢復，主要依賴于復合文件中未使用空間的獲取和IM數據特征的搜索。目前已有的技術，對未分配空間的挖掘只限于文件殘留區和復合文件中空閑空間(即標志為-I的塊)。由于，在很多情況下IM信息被刪除后，數據并沒有流入到文件殘留區或者 空閑空間中，因此采用傳統的恢復方法往往恢復效果不盡人意。我們在研究了復合文件格式的基礎上，提出了一種采用復合文件作為存儲結構的IM刪除信息的恢復方法。該方法采用全局標識的方法，盡最大可能的獲取了復合文件中未使用空間并進行頂刪除信息恢復，從而使頂刪除信息的恢復更加完整和準確。
技術實現思路
本專利技術所要解決的技術問題是提供一種恢復準確度高、恢復信息全面，通過全局標識方法來恢復IM刪除信息的恢復方法。本專利技術是通過以下技術方案來實現的一種頂刪除信息的恢復方法，包括未使用空間數據的獲取方法和從未使用空間中恢復刪除數據的方法，其中 刪除的頂信息數據主要流入到復合文件的三個地方空閑扇區、文件殘留區、無目錄結構對應的扇區； 所述未使用空間數據的獲取方法由以下幾個步驟實現 a)預處理解析復合文件的頭部結構，并獲取長扇區分配表SAT、短扇區分配表SSAT>以及長扇區的長度LSectorSize和短扇區長度LSectorSize,并用N=LSectorSize/LSectorSize表示長扇區長度是短扇區長度的多少倍，解析目錄流結構，獲取復合文件中各個文件的對應的扇區鏈； b)空閑扇區的獲取空閑空間為扇區表中value為-I所對應的扇區，因此獲取空閑空間的步驟為遍歷整個扇區表，將扇區表中value為-I對應的扇區的數據放入到pUnusedBuffer ； C)文件殘留區的獲??；遍歷復合文件里面包含的所有文件，如果發現sectorsize*n>filesize,則將該文件從偏移filesize到偏移sectorsize*n區間所包含的數據加入到pUnusedBuffer 中； d)無目錄結構對應的扇區的獲取在扇區表中，有一些扇區鏈沒有被文件指向，這些鏈對應的扇區就是無目錄結構的扇區，在某些情況下，當一些頂信息被刪除時，只是清空相應的目錄結構，扇區表中的扇區鏈并沒有清空，為了獲取這些扇區的信息，采用全局標記的方法進行獲取； 所述從未使用空間中恢復刪除數據的方法由以下幾個步驟實現 A)刪除聊天記錄的恢復確定所獲取的pUnusedBuffer數據中是否包含正常的聊天記錄需要以下步驟 1)、初步判斷根據聊天記錄的格式，判斷總長度是否等于“0xl4+4+dwBlockLenl+4+dwBlockLen2，，； 2)、再次確認對第二部分的數據進行解密，判斷是否解密成功，并判斷解密后的頭8個字節為 0x4d, 0x53，0x47，0x00，0x00，0x00，0x00，0x00 ； 當1)、2)步驟都判斷為是聊天記錄的格式是就開始按聊天記錄的格式去解析，解析完可進一步判斷聊天記錄是好友、群還是討論組，具體做法為，根據第三部分數據解出來的字段名和值的集合，在集合中查找接收者帳號ID對應的值進行判斷，通過分析正常聊天記錄的數據可知，群/討論組中的聊天記錄的接收者帳號為群/討論組的ID號，因此可在解析正常記錄時記錄所有群/討論組ID的集合，通過判斷接收者帳號是否在這個集合中來確定是否是群/討論組中的聊天記錄，如果不是群/討論組的聊天記錄，則根據對方的IM帳號ID進行分組； B)刪除好友/群/討論組信息記錄的恢復由于好友/群/討論組的信息保存在Info, db文件中，且Info, db中的數據大部分是有〃ES〃標識的加密數據，所以通過解密ES數據塊進行判斷。首先對數據塊的類型和長度進行初步過濾，以免大量解密操作導致效率較慢，并對數據塊的數據進行解密，如果解密成功，且數據是一條TD數據塊，則初步判斷為一條正常的記錄； 當解析成功時可進一步判斷該信息是屬于好友、群還是討論組的。具體做法為，對解密出來的TD數據塊解析，可得到一組字段名和組的集合，可以通過判斷是否同時存在一組字段來確定屬于什么類型；其中群成員信息存在群身份標識字段，群信息同時存在群標識〃和〃群名稱〃字段，討論組及成員信息同時存在〃討論組ID和〃討論組名稱〃字段，好友個人信息同時存在〃帳號ID和〃性別〃字段。作為優選，所述全局標記的方法進行獲取，其具體操作由以下幾個步驟組成 1)、將整個復合文件分成一塊一塊的，每塊的大小為SSectorSize，即每塊的大小為短扇區的大小； 2)、遍歷長扇區表，對于扇區表第i個位置的value如果為-I或者_2或者_3或者-4的話，則標記第i*N+rTi*N+N的塊為被使用； 3)、從復合文件頭部獲取目錄流在扇區表中的起始ID，并獲取相應的扇區鏈。根據獲取到的扇區鏈，針對扇區鏈中得每個節點將相應的塊標記為被使用。具體做法為對于該扇區鏈中的每個節點j，將j*N+N j*N+2N的塊標志為被使用； 4)、遍歷復合文件中包含的所有文件得到每個文件對應的扇區鏈，根據獲取到的扇區鏈，將相應的塊標記位被使用，如果獲取到的扇區鏈為短扇區鏈，則對于該扇區鏈中得每個節點j ，獲取到該短扇區所在的長扇區位置i，以及偏移k(彡k彡N-1)，并標記第i*N+N+k塊為被使用，5)、遍歷所有的塊，將沒有被標記為被使用的塊所對應的數據加入到pUnusedBuffer中 本專利技術IM刪除信息的恢復方法的有益效果是本專利技術提出了一種IM刪除信息的恢復方法， 該方法通過全局標識方法，充分的挖掘了復合文件中的未使用空間并采用IM數據特征搜索方法進行刪除信息恢復。與現有的IM刪除信息恢復軟件相比該方法具有恢復準確度高、恢復信息全面的特點，通過該方法進行頂刪除信息在最大程度上保證了刪除信息能被恢復出來。為其他采用復合文件結構作為存儲結構的文件的數據恢復提供了一種重要的思路，將廣泛應用于相關數據刪除、數據解析領域。附圖說明圖I為空閑扇區獲取流程； 圖2為文件殘留區獲取流程 圖3為無目錄結構扇區數據獲取流程 圖4為IM聊天記錄恢復流程 圖5為好友/群/討論組信息記錄恢復流程 圖6為未刪除前的恢復效果 圖7為刪除后的恢復效果 圖8為刪除后SafeAnalyze恢復效果圖。具體實施例方式如圖I至圖8所示，本專利技術的一種頂刪除信息的恢復方法，包括未使用空間數據的獲取和從未使用空間中恢復刪除數據，其中 刪除的頂信息數據主要流入到復合文件的三個地方空閑扇區、文件殘留區、無目錄結構對應的扇區；對應的解釋如下表所示本文檔來自技高網...

【技術保護點】
一種IM刪除信息的恢復方法，其特征在于：包括未使用空間數據的獲取方法和從未使用空間中恢復刪除數據的方法，其中：刪除的IM信息數據主要流入到復合文件的三個地方：空閑扇區、文件殘留區、無目錄結構對應的扇區；所述未使用空間數據的獲取方法由以下幾個步驟實現：a)？預處理：解析復合文件的頭部結構，并獲取長扇區分配表SAT、短扇區分配表SSAT、以及長扇區的長度LSectorSize和短扇區長度LSectorSize，并用N=LSectorSize/LSectorSize表示長扇區長度是短扇區長度的多少倍，解析目錄流結構，獲取復合文件中各個文件的對應的扇區鏈；b)？空閑扇區的獲?。嚎臻e空間為扇區表中value為？1所對應的扇區，因此獲取空閑空間的步驟為：遍歷整個扇區表，將扇區表中value為？1對應的扇區的數據放入到pUnusedBuffer；c)？文件殘留區的獲?。槐闅v復合文件里面包含的所有文件，如果發現sectorsize*n＞filesize，則將該文件從偏移filesize到偏移sectorsize*n區間所包含的數據加入到pUnusedBuffer中；d)？無目錄結構對應的扇區的獲取：在扇區表中，有一些扇區鏈沒有被文件指向，這些鏈對應的扇區就是無目錄結構的扇區，在某些情況下，當一些IM信息被刪除時，只是清空相應的目錄結構，扇區表中的扇區鏈并沒有清空，為了獲取這些扇區的信息，采用全局標記的方法進行獲??；所述從未使用空間中恢復刪除數據的方法由以下幾個步驟實現：A)？刪除聊天記錄的恢復:？確定所獲取的pUnusedBuffer數據中是否包含正常的聊天記錄需要以下步驟：1）、初步判斷:根據聊天記錄的格式，判斷總長度是否等于“0x14+4+dwBlockLen1+4+dwBlockLen2”；2）、再次確認:對第二部分的數據進行解密，判斷是否解密成功，并判斷解密后的頭8個字節為0x4d,0x53,0x47,0x00,0x00,0x00,0x00,0x00；當1）、2）步驟都判斷為是聊天記錄的格式是就開始按聊天記錄的格式去解析，解析完可進一步判斷聊天記錄是好友、群還是討論組，具體做法為，根據第三部分數據解出來的字段名和值的集合，在集合中查找"接收者帳號ID"對應的值進行判斷，通過分析正常聊天記錄的數據可知，群/討論組中的聊天記錄的接收者帳號為群/討論組的ID號，因此可在解析正常記錄時記錄所有群/討論組ID的集合，通過判斷接收者帳號是否在這個集合中來確定是否是群/討論組中的聊天記錄，如果不是群/討論組的聊天記錄，則根據對方的IM帳號ID進行分組；B)？刪除好友/群/討論組信息記錄的恢復:？由于好友/群/討論組的信息保存在Info.db文件中，且Info.db中的數據大部分是有"ES"標識的加密數據，所以通過解密"ES"數據塊進行判斷；首先對數據塊的類型和長度進行初步過濾，以免大量解密操作導致效率較慢，并對數據塊的數據進行解密，如果解密成功，且數據是一條TD數據塊，則初步判斷為一條正常的記錄；當解析成功時可進一步判斷該信息是屬于好友、群還是討論組的；具體做法為，對解密出來的TD數據塊解析，可得到一組字段名和組的集合，可以通過判斷是否同時存在一組字段來確定屬于什么類型；其中群成員信息存在"群身份標識"字段,群信息同時存在"群標識"和"群名稱"字段，討論組及成員信息同時存在"討論組ID"和"討論組名稱"字段，好友個人信息同時存在"帳號ID"和"性別"字段。...

【技術特征摘要】
1.一種頂刪除信息的恢復方法，其特征在于包括未使用空間數據的獲取方法和從未使用空間中恢復刪除數據的方法，其中 刪除的頂信息數據主要流入到復合文件的三個地方空閑扇區、文件殘留區、無目錄結構對應的扇區； 所述未使用空間數據的獲取方法由以下幾個步驟實現 a)預處理解析復合文件的頭部結構，并獲取長扇區分配表SAT、短扇區分配表SSAT>以及長扇區的長度LSectorSize和短扇區長度LSectorSize,并用N=LSectorSize/LSectorSize表示長扇區長度是短扇區長度的多少倍，解析目錄流結構，獲取復合文件中各個文件的對應的扇區鏈； b)空閑扇區的獲取空閑空間為扇區表中value為-I所對應的扇區，因此獲取空閑空間的步驟為遍歷整個扇區表，將扇區表中value為-I對應的扇區的數據放入到pUnusedBuffer ； C)文件殘留區的獲取；遍歷復合文件里面包含的所有文件，如果發現sectorsize*n> filesize,則將該文件從偏移filesize到偏移sectorsize*n區間所包含的數據加入到pUnusedBuffer 中； d)無目錄結構對應的扇區的獲取在扇區表中，有一些扇區鏈沒有被文件指向，這些鏈對應的扇區就是無目錄結構的扇區，在某些情況下，當一些頂信息被刪除時，只是清空相應的目錄結構，扇區表中的扇區鏈并沒有清空，為了獲取這些扇區的信息，采用全局標記的方法進行獲?。? 所述從未使用空間中恢復刪除數據的方法由以下幾個步驟實現 A)刪除聊天記錄的恢復確定所獲取的pUnusedBuffer數據中是否包含正常的聊天記錄需要以下步驟 1)、初步判斷根據聊天記錄的格式，判斷總長度是否等于“0xl4+4+dwBlockLenl+4+dwBlockLen2，，； 2)、再次確認對第二部分的數據進行解密，判斷是否解密成功，并判斷解密后的頭8個字節為 0x4d, 0x53，0x47，0x00，0x00，0x00，0x00，OxOO ； 當1)、2)步驟都判斷為是聊天記錄的格式是就開始按聊天記錄的格式去解析，解析完可進一步判斷聊天記錄是好友、群還是討論組，具體做法為，根據第三部分數據解出來的字段名和值的集合，在集合中查找接收者帳號ID對應的值進行判斷，通過分析正...

【專利技術屬性】
技術研發人員：沈長達，沈少凡，林藝濱，錢鏡潔，
申請(專利權)人：廈門市美亞柏科信息股份有限公司，
類型：發明
國別省市：