基于SQLite內(nèi)容雕刻的恢復(fù)技術(shù)

馬慶杰，李炳龍，位麗娜

(1.信息工程大學(xué)，鄭州 450004; 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室，鄭州 450004)

(*通信作者電子郵箱lblc2006@163.com)

基于SQLite內(nèi)容雕刻的恢復(fù)技術(shù)

馬慶杰1,2，李炳龍1,2*，位麗娜1,2

(1.信息工程大學(xué)，鄭州 450004; 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室，鄭州 450004)

(*通信作者電子郵箱lblc2006@163.com)

SQLite數(shù)據(jù)庫被眾多即時(shí)通信軟件用于存儲(chǔ)歷史數(shù)據(jù)。在即時(shí)通信取證過程中，犯罪分子為阻礙司法部門的調(diào)查，往往隱藏、刪除或覆蓋重要的通信數(shù)據(jù)。目前的數(shù)據(jù)恢復(fù)方法效率較低，無法恢復(fù)被覆蓋的數(shù)據(jù)。針對上述問題，提出了一種基于SQLite的內(nèi)容雕刻算法，分析SQLite數(shù)據(jù)庫文件的存儲(chǔ)特性和數(shù)據(jù)刪除機(jī)制，以空閑域?yàn)閱挝恍纬煽臻e域鏈表，以頁結(jié)構(gòu)為單位進(jìn)行細(xì)粒度的內(nèi)容雕刻，并根據(jù)數(shù)據(jù)被覆蓋的位置對零散數(shù)據(jù)塊進(jìn)行有效拼接。實(shí)驗(yàn)結(jié)果表明，SQLite內(nèi)容雕刻算法可有效在本地和移動(dòng)終端恢復(fù)即時(shí)通信的歷史數(shù)據(jù)，當(dāng)數(shù)據(jù)庫未受損時(shí)，恢復(fù)率可達(dá)到100%；而當(dāng)刪除域受到不同程度的覆蓋時(shí)，恢復(fù)率仍然可達(dá)到50%左右，并具有較高的效率。

SQLite；刪除域；即時(shí)通信；取證調(diào)查；內(nèi)容雕刻；恢復(fù)率

0 引言

即時(shí)通信(Instant Messaging，IM)以其即時(shí)性、穩(wěn)定性、安全性，以及多格式交流等特性，已成為當(dāng)今通信的主要手段之一。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心(China Internet Network Information Center, CNNIC)統(tǒng)計(jì)數(shù)據(jù)[1]，截止2016年1月，我國網(wǎng)民中即時(shí)通信用戶的規(guī)模達(dá)到6.24億，占網(wǎng)民總體的90.7%，其中手機(jī)即時(shí)通信用戶5.57億，占手機(jī)網(wǎng)民的89.9%，在我國網(wǎng)絡(luò)應(yīng)用使用率中排名第一。與此同時(shí)，利用即時(shí)通信軟件進(jìn)行經(jīng)濟(jì)詐騙、毒品交易等的惡意犯罪事件逐年上升。尤其對于市場份額增長迅速的WhatsApp、微信、陌陌等移動(dòng)即時(shí)通信軟件，謠言、暴力、色情等問題在這些新型社交平臺上快速泛濫。2015年5月，北京市網(wǎng)絡(luò)安全反詐騙聯(lián)盟共接到網(wǎng)絡(luò)詐騙報(bào)案4 920例，報(bào)案總金額高達(dá)1 772.3萬元，其中借助即時(shí)通信的案件占比例為37.2%[2]。

SQLite[3-4]是一款輕量級嵌入式的關(guān)系型數(shù)據(jù)庫，完全兼容數(shù)據(jù)庫事務(wù)正確執(zhí)行的四要素Atomicity，Consistency，Isolation，Durability(ACID)，并實(shí)現(xiàn)了大部分SQL標(biāo)準(zhǔn)，使用動(dòng)態(tài)類型的SQL語法。由于SQLite具有較好的靈活性和兼容性，以及本地存儲(chǔ)特性，許多即時(shí)通信軟件采用SQLite數(shù)據(jù)庫來存儲(chǔ)其產(chǎn)生的歷史數(shù)據(jù)[5]，例如QQ、Skype、微信等。但犯罪分子往往對SQLite中的數(shù)據(jù)進(jìn)行隱藏、刪除、覆蓋等反取證破壞，在取證過程中，應(yīng)最大限度地恢復(fù)出已被破壞的重要數(shù)據(jù)。文獻(xiàn)[6]中針對惡意銷毀行為，研究了二進(jìn)制可執(zhí)行文件的恢復(fù)方法；文獻(xiàn)[7]通過分析Ext2/3文件系統(tǒng)，研究了提高恢復(fù)效率的方法；文獻(xiàn)[8]研究了如何根據(jù)YAFFS2 和SQLite重構(gòu)用戶行為，但并未對其數(shù)據(jù)恢復(fù)進(jìn)行深入研究，恢復(fù)重構(gòu)率較低；文獻(xiàn)[9]利用YAFFS2文件系統(tǒng)的out-of-place-write策略，以時(shí)間線為依據(jù)來恢復(fù)數(shù)據(jù)庫內(nèi)用戶操作記錄，但對于數(shù)據(jù)庫中被覆蓋破壞的數(shù)據(jù)無法有效恢復(fù)。

本文提出一種基于SQLite內(nèi)容雕刻的即時(shí)通信取證方法，利用SQLite的存儲(chǔ)特性和數(shù)據(jù)刪除機(jī)制，以空閑域?yàn)閱挝恍纬煽臻e域鏈表，以頁結(jié)構(gòu)為單位進(jìn)行細(xì)粒度的內(nèi)容雕刻，并根據(jù)數(shù)據(jù)被覆蓋的位置對零散數(shù)據(jù)塊進(jìn)行有效拼接。該方法能實(shí)現(xiàn)細(xì)粒度的恢復(fù)效果，提高信息恢復(fù)的恢復(fù)率，為取證人員提供了一種有效的即時(shí)通信取證方法。

1 SQLite文件結(jié)構(gòu)分析

1.1 數(shù)據(jù)庫文件頭

SQLite數(shù)據(jù)庫的基本存儲(chǔ)單位是頁(page)，頁的大小默認(rèn)為210Byte。數(shù)據(jù)庫中信息的讀、寫、刪除操作均是以頁為單位進(jìn)行，頁的類型有B-tree頁、B+tree頁、空閑頁、溢出頁等，頁的編號從1到n。

SQLite數(shù)據(jù)庫中的數(shù)據(jù)存儲(chǔ)在多個(gè)Btree頁中，一個(gè)完整的Btree頁主要包含三種類型的數(shù)據(jù)結(jié)構(gòu)：文件頭(根頁)、頁頭和單元內(nèi)容區(qū)。數(shù)據(jù)庫文件的第一個(gè)頁(根頁)包含100Byte的文件頭信息，稱作文件頭頁。數(shù)據(jù)頁采用B+tree頁，索引頁采用B-tree頁。

文件頭主要用于記錄數(shù)據(jù)庫的頭標(biāo)識、頁大小、空閑頁地址、編碼方式和版本等重要信息，用WinHex打開微信中存儲(chǔ)位置信息的數(shù)據(jù)庫revsers_geo_cache.db，如圖1所示，其中偏移地址0x00 00～0x00 63為文件頭詳細(xì)信息，文件頭的部分元素解析如表1所示。

圖1 SQLite文件頭

表1 SQLite文件頭格式解析

文件頭前16Byte是固定標(biāo)識，即字符串“SQLitefromat3

修文县| 伊川县| 车致| 中牟县| 迁西县| 盐亭县| 花垣县| 东莞市| 南宫市| 东山县| 枣阳市| 石首市| 华宁县| 怀柔区| 肥西县| 曲沃县| 宿迁市| 翼城县| 三明市| 广灵县| 游戏| 侯马市| 阳西县| 土默特右旗| 焦作市| 浮山县| 繁昌县| 临西县| 鄂尔多斯市| 分宜县| 纳雍县| 德安县| 罗江县| 淳化县| 伊春市| 桐庐县| 星座| 衡水市| 米泉市| 中卫市| 五台县|