【242期-2】手机数据丢失怎么破?
手机数据的丢失与恢复的秘密,你知道多少?...
转自:科技强检科技强检(ID:techjc)
手机的存储数据,时刻在变化,在手机运行中,时刻会有新数据产生,同样也会有旧数据被抹除,只要CPU在工作,这种新陈代谢就不会停止。但由于存储容量受到限制,早期产生的用户数据,慢慢地会被新的数据所代替。
有时,为了挪腾存储空间,使用者也会主动删除一些数据或文件,这些删除动作大体上包括:
2、删除一个文件(如删除一个图片、音频、视频,或卸载某个应用等);
3、将手机恢复出厂设置(这一操作相当于对硬盘进行格式化)。
同时一些意外因素,也会使数据发生变化,如充电时的电流冲击,进水受潮时的内部短路,存储器的某一部分发生了故障,或者系统本身的先天设计不足等。
那么这些数据还能不能找回,如何找回这就是一个问题。
那就和小编一起回顾手机的数据存储机理,一步步了解如何实现文件恢复吧!
一、数据丢失相关性
1、闪存
现在手机内部所采用的存储器,是一种叫做闪存(Flash memory)的存储器,它属于内存器件的一种,是一种不挥发性内存。
闪存的物理特性与常见的内存有根本性的差异。目前各类 DDR 、 SDRAM 或者 RDRAM 都属于挥发性内存,只要停止电流供应,内存中的数据便无法保持,因此每次电脑开机都需要把数据重新载入内存。
而闪存在没有电流供应的条件下,也能够长久地保持数据,其存储特性相当于硬盘,这项特性正是闪存得以成为各类便携型数字设备的存储介质的基础。闪存具有容量大、速度快,接口简单等优点。
2、文件系统
所谓文件系统,是操作系统用于明确存储设备(常见的是磁盘,也有基于各类闪存的存储介质)或分区上的文件的方法和数据结构,即在存储设备上组织文件的方法。
操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统。文件系统由三部分组成:文件系统的接口、对对象操纵和管理的软件集合、对象及属性。
从系统角度来看,文件系统是对文件存储设备的空间进行组织和分配,负责文件存储并对存入的文件进行保护和检索的系统。具体地说,它负责为用户建立文件,存入、读出、修改、转储文件,控制文件的存取,当用户不再使用时撤销文件等。
当我们增加或删除一条通话记录、拍摄或删除一张照片、安装或卸载一个应用时,都需要用文件系统的相应操作方法,对闪存进行读写操作。
3、数据的存储
刚出厂的手机,或者做过恢复出厂设置的手机,闪存里除一些系统运行所必须的数据文件之外,其他部分都被标记为可用。
假设这时候我们拍摄了一段视频,那么视频文件就被放置在闪存内可用空间的前面,如果再拍一段视频,那么会将之存储在在上一个视频文件的后面,以此类推,按时间顺序在物理空间上依次被存储。
根据文件系统的规则,这两个视频的文件名,是存放在另一个物理位置与文件名一起存放的,还有文件创建时间、文件长度、文件的存放位置等等信息。其他文件如图片、音频、地图离线包等,存储的顺序,也和视频一样。
但是这样的顺序,是有条件限制的。当可用的空间越来越小,甚至无法再存储文件时,这种顺序存储的格局,将被打破。一些文件必须被删除,以便挪腾出更多的可用空间,使手机能继续工作下去。而此后产生的文件,再存储时,就进入了一种“见缝插针”的模式,不像一开始那么有顺序,有的文件如果太大,还会被分割成数块,存储在腾挪出来的不同位置上。
4、文件的删除
文件在存储的时候,除了存储文件内容外,还会将包括文件名、创建时间、长度在内的各类文件信息加以保存,同时还会在特殊位置创建一个链表,把保存文件所占用的空间标记出来,一方面便于操作系统了解这个文件,另一方面,也是在声明“此处已经被我占领”。
当某个文件被删除时,为了减少系统的运行开销,闪存中文件的内容并不做改变,仅把文件信息标记为已删除的状态,并将链表释放,用来表示文件内容所处的位置“可以被回收利用了”。这种删除标记会一直存在着,直到系统觉得有回收的必要,将这些可回收利用的位置上的数据,擦除成一片空白(全0或者全1),用来安放后来的数据文件。这种擦除是有代价的,那就是:消耗了该处存储区域的一点“寿命”。
闪存中任一位置的擦除次数,都是有限制的,擦除次数因闪存生产商家及闪存的生产工艺不同而不同,一般在10万次以内。这个数字虽说不小,但是对于电子芯片来说,轻而易举就能达到。所以在手机系统设计之初,就要好好规划数据区的回收机制,均衡各区域的磨损率,以避免在闪存的局部反复擦写、造成不可逆转的物理性损坏。
二、细节决定成败
正是由于擦除操作的小心翼翼,给文件恢复留下了一个时间窗口。根据上面的介绍,不难看出:手机使用越不频繁,手机内可利用空间越大,删除操作离现在越近,数据被擦除的可能性也就越小,文件被恢复的可能性也就越大。一些细节之处,决定了文件恢复的成败。
例如:
1、有固定格式或者特征码的文件,容易被恢复。
2、按顺序存储在同一区域的文件,容易被恢复。
3、文件越小,越容易恢复。因为小文件存储在同一区域的概率更大。
一个JPG文件,总是比一个MP4文件容易被恢复。
三、单条数据的恢复
有一些应用的数据库,是经过加密运算之后,再保存到闪存上的。每一次改变数据之后,都需要对数据库中需要改动的部分进行重新加密再存盘,一旦发生单条数据的删除操作,那么在重新加密的过程中,就把那些删除数据剔除掉了。可以想象,这时候再去数据库文件中查询那些删除的条目,已经踪迹全无。
通过以上概述,小编和大连睿海信息科技有限公司在理论层面上对手机数据的删除和恢复进行了剖析,而以下就是大连睿海通过实验对手机数据的删除和恢复进行了实践。
验
实
1、在通讯录中存入一个联系人电话13940984099,姓名Jack Wang;实
2、将手机中相应的文件取出,保存为contacts2_qian.db;
3、再将这个联系人从手机通讯录中删除,然后取出文件,保存为contacts2_hou.db;
4、最后对比上述两个文件,结果为下图所示。
大连睿海信息科技有限公司对此实验的结论如下:
以上实验简单来说,就是:数据库是由若干个页面组成的,上图中页面的首地址为7B000。开头的0D,代表着该页属于表格内容。之后紧跟的两个字节,是指出该页已删除数据的地址偏移量,再之后的两个字节,代表该页有多少组数据。删除前,已删除数据的地址偏移量为00 00,意思是没有删除数据,数据组标记为00 20,意思是该页有20条数据;删除后,已删除数据的地址偏移量为01 19,意思是7B119处的那条数据是被删除的;相应的,数据组标记变为了00 1F,意思是该页还有1F条数据。以上数据的表达方式,都是十六进制。
ps.在小编看来丢失数据的恢复,是一个技术性与偶然性相结合的工作,虽然很难说哪种数据或者文件一定能恢复,但是这种恢复的可能性,在办案中确实相当实用,往往能在很多关键的时候,解决大问题。
扩展阅读:
1、实战:手机芯片取证中的PDU mode数据挖掘
http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=211241035&idx=2&sn=6b8f354b1c7a6545a02919254ce86c46#rd
2、手机芯片恢复?So easy?
http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=211260773&idx=2&sn=5be4848dbcdc684e88d814af1d01c557#rd
关注 电子物证
微信扫一扫关注公众号
