基于特征的单个文件提取方法技术

一种基于特征的单个文件提取方法，包括：在磁盘上定位违法操作遗留的痕迹特征所属的数据块；判断所述痕迹特征所属的数据块的相邻数据块是否属于磁盘空闲区域；在相邻数据块属于磁盘空闲区域时，判断相邻数据块与所述痕迹特征所属的数据块是否关联；在相邻数据块与所述痕迹特征所属的数据块关联时，对相邻数据块和所述痕迹特征所属的数据块进行重组还原。本发明专利技术提供的基于特征的单个文件提取方法，通过文件特征进行磁盘中删除的单个文件提取，不依赖于文件目录节点、文件头特征以及文件尾特征，实现快速、完整地提取记录犯罪分子在终端设备上进行过操作的单个文件。

【技术实现步骤摘要】


本专利技术涉及终端设备安全
，特别涉及一种基于特征的单个文件提取方法。

技术介绍

随着计算机技术的普及与发展，利用终端设备进行违法犯罪的活动也越来越多。犯罪分子在PC、平板、手机以及移动互联设备等终端设备进行违法犯罪活动的同时，会在终端设备中留下大量的操作痕迹，这些操作痕迹都是以文件的形式存在。在终端设备进行违法犯罪活动后，犯罪分子会将记录他们在终端设备上进行过操作的文件删除，以达到掩盖犯罪事实的目的。然而，就算文件从终端设备中的磁盘上面删除，由于磁盘上多个位置存放相同文件内容的文件存储方式以及文件会进行缓存等原因，被删除的文件其目录结构可能已经丢失，但文件内容依然存在。通过提取这些记录犯罪分子在终端设备上进行过操作的文件，有助于执法部门快速破获针对终端设备的犯罪活动。
由于删除的文件其目录结构已经丢失，传统的根据目录节点进行文件提取已经做不到将目录结构丢失的文件恢复出来。现有技术中，还有一种方式是依赖文件头特征或者文件尾特征提取文件。这种方法只能针对文件头特征或者文件尾特征存在的文件，在找到文件头特征或者文件尾特征后进行文件提取。然而，终端设备中绝大多数文件是不存在文件头和文件尾的，例如文本文件。并且，终端设备中的大量文件是采取不连续存储方式，即便能够找到文件头特征和文件尾特征，依旧不能完全恢复文件内容，只能恢复包含文件头和文件尾的部分文件。进一步，采取文件头特征或者文件尾特征提取文件的方法，会提取出大量文件。在终端设备取证过程中，需要从这些提取出的文件中筛选出有用的文件，工作量会非常大。
专利技术内容
本专利技术所要解决的问题是提供一种基于特征的单个文件提取方法，通过文件特征进行磁盘中删除的单个文件提取，不依赖于文件目录节点、文件头特征以及文件尾特征，实现快速、完整地提取记录犯罪分子在终端设备上进行过操作的单个文件。
为解决上述问题，本专利技术提供一种基于特征的单个文件提取方法，包括：在磁盘上定位违法操作遗留的痕迹特征所属的数据块；判断所述痕迹特征所属的数据块的相邻数据块是否属于磁盘空闲区域；在相邻数据块属于磁盘空闲区域时，判断相邻数据块与所述痕迹特征所属的数据块是否关联；在相邻数据块与所述痕迹特征所属的数据块关联时，对相邻数据块和所述痕迹特征所属的数据块进行重组还原。
本专利技术是基于文件特征进行磁盘中删除的单个文件提取，不同于传统的依赖文件目录节点进行文件提取和传统的依赖文件头特征或者文件尾特征进行文件提取，本专利技术技术方案是通过在磁盘上定位文件特征，即犯罪分子进行违法操作遗留的痕迹特征，然后以定位到的位置为基点，对相邻的前后数据块进行分析整理，再恢复出完整的文件数据。本专利技术技术方案解决了文件删除后目录节点不存在导致文件无法恢复的问题，也解决了依赖文件头特征或者文件尾特征扫描恢复文件数据不完整并且需要进行大量筛选工作的问题。
可选的，所述痕迹特征为执法部门提供的对违法操作能够定性的搜索关键字。
可选的，所述痕迹特征包括姓名、账号、地址、IP以及域名中的至少一种。
可选的，所述在磁盘上定位违法操作遗留的痕迹特征所属的数据块包括：对磁盘进行读操作以获得读取数据；对比所述读取数据与所述痕迹特征是否一致；在所述读取数据与所述痕迹特征一致时，所述读取数据所在的数据块即为所述痕迹特征所属的数据块。
可选的，所述判断相邻数据块与所述痕迹特征所属的数据块是否关联包括：判断相邻数据块的数据内容和格式与所述痕迹特征所属的数据块的数据内容和格式是否一致；在相邻数据块的数据内容和格式与所述痕迹特征所属的数据块的数据内容和格式一致时，判断相邻数据块的特征标识与所述痕迹特征所属的数据块的特征标识是否相同；在相邻数据块的特征标识与所述痕迹特征所属的数据块的特征标识相同时，相邻数据块与所述痕迹特征所属的数据块关联。
与现有技术相比，本专利技术具有以下优点：
本专利技术提供的基于特征的单个文件提取方法，在删除的文件其目录节点丢失的情况下，根据文件内容特征进行单个文件恢复提取，能够快速而精准地恢复出包含犯罪分子在终端设备进行违法犯罪操作遗留的痕迹的文件，不依赖文件目录节点、文件头特征以及文件尾特征，实现快速、完整地提取记录犯罪分子在终端设备上进行过操作的单个文件。
附图说明
图1是本专利技术实施例的基于特征的单个文件提取方法的流程示意图；
图2是本专利技术实施例的在磁盘上定位违法操作遗留的痕迹特征所属的数据块的流程示意图；
图3是本专利技术实施例的判断相邻数据块与痕迹特征所属的数据块是否关联的流程示意图。
具体实施方式
下面结合实施例及附图，对本专利技术作进一步地的详细说明，但本专利技术的实施方式不限于此。
图1是本专利技术实施例的基于特征的单个文件提取方法的流程示意图，所述基于特征的单个文件提取方法包括：
步骤S11，在磁盘上定位违法操作遗留的痕迹特征所属的数据块。所述痕迹特征为执法部门（例如检察机关或者司法机关）提供的对违法操作能够定性的搜索关键字，可以为违法操作人员遗留的姓名、账号、地址、IP以及域名中的至少一种。例如，在某案件中调查到嫌疑人在某购物网站上购买了大量制作炸药的原材料，在这个过程中嫌疑人会在该购物网站上留下其收货姓名、注册账号、联系电话、收货地址、IP以及域名等信息，根据这些信息就可以在查获的嫌疑人的终端设备上进行搜索。具体地，图2是本专利技术实施例的在磁盘上定位违法操作遗留的痕迹特征所属的数据块的流程示意图，所述在磁盘上定位违法操作遗留的痕迹特征所属的数据块包括：
步骤S21，对磁盘进行读操作以获得读取数据。
步骤S22，对比所述读取数据与所述痕迹特征是否一致。具体地，将从磁盘读取到的数据进行搜索关键字的一一比对，判断所述读取数据和所述痕迹特征是否相同，若相同则所述读取数据与所述痕迹特征一致，若不同则所述读取数据与所述痕迹特征不一致。
在所述读取数据与所述痕迹特征一致时，执行步骤S23，所述读取数据所在的数据块即为所述痕迹特征所属的数据块。
步骤S12，判断所述痕迹特征所属的数据块的相邻数据块是否属于磁盘空闲区域。具体地，所述痕迹特征所属的数据块的相邻数据块为所述痕迹特征所属的数据块的前后数据块。本领域技术人员知晓，磁盘上的日志文件记录了磁盘各个区域所属文件的信息，因而根据磁盘上的日志文件可以判断所述痕迹特征所属的数据块的相邻数据块是属于磁盘空闲区域还是属于某一个文件。
在相邻数据块属于磁盘空闲区域时，执行步骤S13，判断相邻数据块与所述痕迹特征所属的数据块是否关联。具体地，将属于磁盘空闲区域的相邻数据块提取出来进行关联分析。图3是本专利技术实施例的判断相邻数据块与所述痕迹特征所属的数据块是否关联的流程示意图，所述判断相邻数据块与所述痕迹特征所属的数据块是否关联包括：
步骤S31，判断相邻数据块的数据内容和格式与所述痕迹特征所属的数据块的数据内容和格式是否一致。例如，可以判断相邻数据块和所述痕迹特征所属的数据块的数据是否都为可见字符编码，如果是，则可以认定相邻数据块的数据内容和格式与和所述痕迹特征所属的数据块的数据内容和格式一致。
在相邻数据块的数据内容和格式与所述痕迹特征所属的数据块的数据内容和格式一致时，执行步骤S32，判断相邻数据块的特征标识与所述痕迹特征所属的数据块的特征本文档来自技高网...

【技术保护点】
一种基于特征的单个文件提取方法，其特征在于，包括：在磁盘上定位违法操作遗留的痕迹特征所属的数据块；判断所述痕迹特征所属的数据块的相邻数据块是否属于磁盘空闲区域；在相邻数据块属于磁盘空闲区域时，判断相邻数据块与所述痕迹特征所属的数据块是否关联；在相邻数据块与所述痕迹特征所属的数据块关联时，对相邻数据块和所述痕迹特征所属的数据块进行重组还原。

【技术特征摘要】
1.一种基于特征的单个文件提取方法，其特征在于，包括：
在磁盘上定位违法操作遗留的痕迹特征所属的数据块；
判断所述痕迹特征所属的数据块的相邻数据块是否属于磁盘空闲区域；
在相邻数据块属于磁盘空闲区域时，判断相邻数据块与所述痕迹特征所属的数据块是否关联；
在相邻数据块与所述痕迹特征所属的数据块关联时，对相邻数据块和所述痕迹特征所属的数据块进行重组还原。
2.根据权利要求1所述的基于特征的单个文件提取方法，其特征在于，所述痕迹特征为执法部门提供的对违法操作能够定性的搜索关键字。
3.根据权利要求2所述的基于特征的单个文件提取方法，其特征在于，所述痕迹特征包括姓名、账号、地址、IP以及域名中的至少一种。
4.根据权利要求1所述的基于特征的单个文件提取方法，其特征在于，所述在磁盘上定位违...

【专利技术属性】
技术研发人员：邓强，
申请(专利权)人：成都驭奔科技有限公司，
类型：发明
国别省市：四川;51