[发明专利]一种面向Android取证的内存镜像数据恢复系统

说明书

本发明公开了一种面向Android取证的内存镜像数据恢复系统，包括有效内存页提取模块和数据记录恢复模块，有效内存页提取模块用于提取内存镜像中有价值的证据数据所在的内存页并发送到数据记录恢复模块，数据记录恢复模块用于根据接收到的有效内存页对未删除和已删除的数据记录进行恢复。本发明结合了内存镜像异地更新与空间局部性的特性，对内存页结构进行分析，将未删除数据和已删除数据信息相结合，解决了不同文件系统所带来存储机制差异的问题，增加了数据恢复的通用性。

技术领域

本发明属于电子取证分析技术领域，特别是一种基于Android非易失性内存镜像取证分析的数据恢复系统。

背景技术

Android应用程序越来越多地与现实世界的犯罪活动紧密相关，对Android内存数据的取证分析对于网络犯罪活动的调查至关重要。大部分Android应用程序均使用SQLite数据库来存储其数据，因而，SQLite数据库文件中包含了与取证分析相关的重要数据。Android设备内存根据其使用目的的不同可以分为易失性内存和非易失性内存，其中，易失性内存在断电时会丢失其数据，而非易失性内存断电时可以保留数据，并且非易失性内存数据的删除只是使用逻辑销毁映射关系而不是执行物理删除。所以，为了保证数据的完整性，对断电后获取的非易失性内存镜像的分析方法更加全面。

现有的Android非易失性内存分区结构多为Ext4文件系统，其数据恢复方法多为基于文件系统的数据重建方法，即重建物理块正确顺序，从而创建更高级别文件系统的逻辑副本，以达到定位有价值的证据数据的位置，检查应用程序创建和管理的文件的目的。然而，非易失性内存使用磨损均衡器将擦除操作均匀地分布在所有块上，由于异地更新和复制操作等特性，非易失性内存镜像中存在一些无效页不会映射到文件系统中，如果基于文件系统进行数据恢复则会遗漏很多重要信息。

发明内容

本发明的目的在于针对上述现有技术存在的问题，提供一种面向Android取证的内存镜像数据恢复系统。

实现本发明目的的技术解决方案为：一种面向Android取证的内存镜像数据恢复系统，所述系统包括：有效内存页提取模块和数据记录恢复模块；

所述有效内存页提取模块，用于提取内存镜像中有价值的证据数据所在的内存页并发送到所述数据记录恢复模块；

所述数据记录恢复模块，用于根据接收到的有效内存页对内存页数据区域存储的数据记录进行恢复。

优选地，所述有价值的证据数据为SQLite数据，大部分Android应用程序均使用SQLite数据库来存储其数据，因而，SQLite数据包含了与取证分析相关的重要数据。所述证据数据以单元的形式存储于所述有效内存页中。

优选地，所述内存镜像为整个Android设备的非易失性内存镜像。所述内存镜像具有异地更新的特点，在物理存储级别删除或更新数据后，将分配一个新的内存页来写入原来内存页更新之后的数据，而原来的内存页只标记为无效，成为垃圾页，不做擦除操作，等待垃圾回收机制进行回收。

优选地，所述有效内存页包括B+树内部页，B+树叶子页，B-树内部页和B-树叶子页。SQLite数据库使用B+树存储表数据，而使用B-树存储与表相关的索引信息，内部页存储指向叶子页的指针，叶子页存储表或索引的记录。因此只有B+树叶子页存储证据数据，但是由于异地更新机制，B+树内部页、B-树叶子页和B-树内部页可能是直接覆盖垃圾页，其中还残留部分未被覆盖的证据数据。

优选地，所述有效内存页提取模块提取内存镜像中有价值的证据数据所在的内存页，具体过程包括：

按页大小扫描非易失性内存镜像，获得页头结构，所述页头包括页类型、第一个自由块偏移量、本页单元数、单元起始地址，页头之后是单元指针数组，其中每2个字节表示1个单元偏移地址；若页类型为0x0d则可能是B+树叶子页，若页类型为0x05则可能是B+树内部页，若页类型为0x0a则可能是B-树叶子页，若页类型为0x02则可能是B-树内部页；