数据库碎片提取方法技术

本发明专利技术属信息安全技术领域，尤其涉及一种数据库碎片提取方法，包括如下步骤：（1）根据文件系统位图数据确定磁盘空闲空间范围。（2）在磁盘空闲空间内搜索全部数据页。（3）按照数据页首部文件标识，对全部数据页进行分类。（4）采用位图算法中的页标注功能，标注该数据库的所有页，得到所有正常页及空闲页并记录，将标记的碎片位图数据以文件形式保存；（5）对每一类数据页进行排序、确认丢失的数据页、排除冲突页，组合数据库文件。本发明专利技术在“无日志”条件下，可有效完成数据信息恢复，具有数据页识别、排序、重组功能的数据库碎片提取方法。

Database fragmentation extraction method

The invention belongs to the technical field of information security, in particular to a database fragment extraction method, which comprises the following steps: (1) determining the free space range of a disk according to the file system bitmap data. (2) search all data pages in disk free space. (3) classify all data pages according to the identification of the first document of the data page. (4) Use the page annotation function of bitmap algorithm to annotate all the pages of the database, get all the normal pages and free pages and record them, save the fragmented bitmap data in the form of files; (5) sort each kind of data pages, confirm the missing data pages, eliminate conflict pages, and compose database files. Under the condition of no log, the invention can effectively complete the data information recovery, and has the functions of data page identification, sorting and reorganization.

【技术实现步骤摘要】
数据库碎片提取方法
本专利技术属信息安全
，尤其涉及一种数据库碎片提取方法。
技术介绍
当前数据库被应用在各个领域，数据库中存储的涉案信息在各类涉网案件办理过程中发挥了关键作用。例如网络传销案件中，传销团伙实际发展会员数量（去重之后）、发展会员的层级关系、平台的实际获利金额、核心会员的身份信息和联系方式，等涉案信息存储在传销平台数据库中。网络赌博案件中，用户的投注金额、账户资金流水额、涉赌人员身份信息及联系方式，等信息存储在赌博网站后台数据库中。各类经济案件中，涉案金额等关键信息保存在财务数据库中。基于伪基站的电信诈骗案件中，诈骗短信内容、编辑时间、实际发送数量和嫌疑人联系方式，等涉案信息保存在伪基站数据库中。研究网络犯罪案件涉案数据库的取证、分析方法对公安机关的电子数据检验鉴定工作有重要意义。目前涉案数据库的检验鉴定工作存在以下问题。1、在无日志或日志被清理情况下，无法有效恢复涉案数据库中被删除的涉案信息。为了逃避法律的制裁，犯罪分子可能会恶意删除、修改涉案数据库中一些关键记录，通常情况下公安机关的电子数据检验人员会根据数据库的日志文件来恢复这些被删除和修改的数据记录；通过逐一分析恢复出的数据记录，办案人员可以从中找出与案件相关的线索。但是目前的“数据库恢复”方法存在以下问题：①在实际办案中，我们发现日志通常已被系统定期自动清理或删除。因此很多情况下，数据库中被删除的涉案记录几乎无法完整恢复。②数据库的数据容量通常以GB为单位，庞大的数据量单纯依靠人工的方式逐一进行检查显然不符合实际。2、被删数据库文件存储特征值被局部覆盖情况下，无法有效恢复数据库文件。目前大型数据库管理系统（如Oracle、SQLServer）均具备独立的数据库文件，例如Oracle的system.dbf文件、SQLServer的master.mdf文件，数据库中所有数据记录均保存在这些数据库文件中。犯罪分子为了逃避法律的制裁，可能会将数据库文件删除或直接格式化硬盘。现有文件恢复软件（如FinalData）采用的是通用恢复策略，而没有针对不同类型网络数据库的存储特点设计专门的恢复策略。因此在被删除数据库文件局部存储特征值被覆盖的情况下，现有取证系统无法有效恢复被删数据库文件。3、现场勘查过程中，涉案服务器直接断电，造成数据库文件损坏，无法正常使用的问题。网络犯罪案件现场勘查过程中，办案人员经常采用直接断电的方式终止涉案服务器的运行。直接断电导致数据库未执行正常的关闭流程，内存中的数据页未及时写入硬盘、日志记录等操作未能正常完成。由于数据库文件损坏，无法正常启动，造成数据库内存储的海量涉案信息无法提取。
技术实现思路
本专利技术旨在克服现有技术的不足之处而提供一种在“无日志”条件下，可有效完成数据信息恢复，具有数据页识别、排序、重组功能的数据库碎片提取方法。为解决上述技术问题，本专利技术是这样实现的。一种数据库碎片提取方法，可按如下步骤依次进行。（1）根据文件系统位图数据确定磁盘空闲空间范围。（2）在磁盘空闲空间内搜索全部数据页。（3）按照数据页首部文件标识，对全部数据页进行分类。（4）采用位图算法中的页标注功能，标注该数据库的所有页，得到所有正常页及空闲页并记录，将标记的碎片位图数据以文件形式保存。（5）对每一类数据页进行排序、确认丢失的数据页、排除冲突页，组合数据库文件。本专利技术针对当前应用最广泛的网络数据库系统（即Oracle、SQLServer、MYSQL）展开研究，数据库碎片提取方法可实现以下主要功能。（1）可以在“无日志”条件下，恢复数据库中被删除和修改的数据记录。（2）可以直接从硬盘分区中恢复被删除的数据库文件。（3）可以对残缺数据库文件进行取证，从中提取出有价值的数据信息。附图说明下面结合附图和具体实施方式对本专利技术作进一步说明。本专利技术的保护范围不仅局限于下列内容的表述。图1为本专利技术数据库碎片提取方法流程框图。具体实施方式如图1所示，数据库碎片提取方法，可按如下步骤依次进行。（1）根据文件系统位图数据确定磁盘空闲空间范围。（2）在磁盘空闲空间内搜索全部数据页。（3）按照数据页首部文件标识，对全部数据页进行分类。（4）采用位图算法中的页标注功能，标注该数据库的所有页，得到所有正常页及空闲页并记录，将标记的碎片位图数据以文件形式保存。（5）对每一类数据页进行排序、确认丢失的数据页、排除冲突页，组合数据库文件。本专利技术主要用于网络犯罪案件涉案数据库的取证分析工作,主要解决问题包括。a、设计了一种数据页定位、提取和排序重组算法，可自动提取、重组被删数据库文件残留在磁盘内的数据碎片。解决了数据库碎片无法有效提取的问题。b、设计了残缺、破损数据库文件取证方法。解决现场勘查过程中，涉案服务器直接断电，造成数据库文件损坏，无法正常使用的问题。c、设计了“无日志”条件下，数据表中被删记录的恢复算法。解决“无日志”或日志被清理条件下，数据记录的有效恢复问题。现有数据库恢复软件是通过日志文件来恢复用户对数据表执行的增、删、改操作，但当无日志或日志被清理的情况下，现有软件无法恢复出数据表中被删除和修改的数据记录。本专利技术可在无日志条件下，直接从数据库文件中恢复出被删除和修改数据记录。现有的数据恢复软件（如FinalData和EasyRecovery）是根据硬盘分区（如NTFS、EXT3）的地址链表和文件头部的特征签名来完成数据恢复。在文件被删除之后，随着计算机的使用、这两个关键信息很可能遭到破坏，这时即使被删除文件的大部分数据仍然残留在硬盘空间内，现有恢复软件也无法完成数据恢复。本专利技术可在硬盘分区关键信息被破坏、现有工具无法恢复的情况下，根据“数据页”存储特征来恢复被删除的数据库文件。网络犯罪案件中，涉案网络平台实际发展会员人数是案件定罪量刑的关键环节。嫌疑人辩护律师经常在这一方面提出质疑，认为存在同一人注册多个账户、同一人使用大量他人身份证号重复注册等问题。认为取证过程中统计出的会员数量并不能代表平台实际发展人数，实际人数无法认定。本专利技术可以依据数据库内记录的用户登录IP地址、会员注册时使用的身份证号、银行卡号、姓名、手机号码，等关键信息实现自动关联去重，通过数据集交叉计算，统计最小集合，进而实现人数统计。可以理解地是，以上关于本专利技术的具体描述，仅用于说明本专利技术而并非受限于本专利技术实施例所描述的技术方案，本领域的普通技术人员应当理解，仍然可以对本专利技术进行修改或等同替换，以达到相同的技术效果；只要满足使用需要，都在本专利技术的保护范围之内。本文档来自技高网...

【技术保护点】
1.一种数据库碎片提取方法，其特征在于，按如下步骤依次进行：（1）根据文件系统位图数据确定磁盘空闲空间范围；（2）在磁盘空闲空间内搜索全部数据页；（3）按照数据页首部文件标识，对全部数据页进行分类；（4）采用位图算法中的页标注功能，标注该数据库的所有页，得到所有正常页及空闲页并记录，将标记的碎片位图数据以文件形式保存；（5）对每一类数据页进行排序、确认丢失的数据页、排除冲突页，组合数据库文件。

【技术特征摘要】
1.一种数据库碎片提取方法，其特征在于，按如下步骤依次进行：（1）根据文件系统位图数据确定磁盘空闲空间范围；（2）在磁盘空闲空间内搜索全部数据页；（3）按照数据页首部文件标识，对全部数据页进行分类；...

【专利技术属性】
技术研发人员：徐国天，秦玉海，
申请(专利权)人：中国刑事警察学院，
类型：发明
国别省市：辽宁,21