背景:
自从做了手机数据恢复与取证产品研发,身边的朋友、客户经常会找我咨询手机数据恢复的〖相关问题,我会毫无保留的进行交流,但也不敢夸下海口什么都承诺。上周,一个合作非常紧密公司的高管打电话给我,一个索尼手机不小心按了出厂设置,需要恢复里面的联系人电话本。出厂设置就意味着把手机重新做了系统,跟电脑重装系统类似,数据恢复的难度可想而知。
技术分析:
索尼手机Xperia C3 S55T手机系统版本呢是安卓4.4.2,根据经验,一般4.2版本以上的系统手机在恢【复出厂后有可能会清零,几乎恢复不出数据来。因◥为是恢复出厂设置,手机中原有的所有用户数︽据都会被删除且会重新生成空白的数据库,直接提取数ζ 据库肯定不行。我们◢需要把手机内存全盘镜像出来。
取得ROOT权限后,用达思手机数据恢复专∴业版顺利做出手机的镜像。接下来我们分析一下镜像。开始分析其存储¤空间,只要删除∏的文件没有清0,都是有希望恢复的。
图一 我们找到分区25 ,这里是用户分区
一、安卓手机下联系人到底是什么鬼?
图二:安卓手机联系人数∩据底层信息
从我们来看◣看联系人的数据库,在偏移24的位置发现这个数据库被修改了82次,也就︽是说在数据库中的手机联系人只有不到82个,因为包括,经过验证,数据库中只有索尼客户服♂务联系信息,总共6条。这么来看,这6个联系人实际上是索尼出厂内置的。
图三、数据库底层信息有三个联系人信息
图三验证了我们的判断↓,联系人数据库已经删除并且重新建「立了。要从数据库★找联系人是不可能了,通过数据库恢复的路已经不通了。我们从数据分区入手进行分析,看看有没有柳暗花明呢?我们祈祷不要被清零吧。
图四、查看分区25的空闲空间 居然没有清零▽!
事实证明,这部索尼手机∞XperiaC3 S55T恢复出厂设置以后,并没有↘执行清0操作,这可是不幸中〗的万幸。
由于手机被执行了恢复出厂设置了,因此手机中原有的数据库已经没有指针指向,数据以无序的方式进行存储,还会产生大卐量碎片。虽然我们获取了手机镜像,虽然空闲空间没有清0,但是要把零碎的数据组合起来还是一个很大的工程。
对手机镜像分析的难点是联系人数据库contacts2.db的文件头在哪里?存放联系人数据的data表在哪里?data表中的联系人数据如何匹配?如果数据〒库存储不连续要怎么处理?其它位置有没有联系人△的残留数据?
下面我们↑来解决这些问题。手机在保存联系人时会有姓名和电话。通过在镜像中搜索特定的姓名和←电话,就能◎找到相关的data表碎片,如图五所示。
图五:在空闲空⌒间中搜索特定的联系人信息
确定以后把符合联系人的空间全部提取,再做相关的整理卐。
图六:在空闲页中找到的联系人信息位置
接下来是整理联系人数据,我们把电话号码和姓名对应∩起来。其实无论数据库是否连续,data表是否连※续,或者其它位置是々否有联系人数据,都通过这种准确的搜索可以把以∑ 上问题解决掉。事实证明,这种数据搜索〒和整理技术,可以很精确的定位碎片中的指定信息。通过强大的整理功能,把得到的数据分类汇总。
最后,这部索尼手机成功恢复了一千多条联系人,超过90%的数据。
关于达思科⊙技
达思科技,国家级高新技术企业,天津市国家保密局涉∏密载体数据恢复唯☆一协作单位,数据恢复行业著名品牌,在国内乃至全亚洲数据恢复技术领先!
达思科技中国数据恢复与取证真专家!热线:4007000017
更多数据恢复与取证前沿技术请关注微信公∞众账号:woocs
微信号:woocs
长按识别二①维码关注
专注数据恢复与取证技术、互联网
投稿:woocs@qq.com
