一种基于受损squashfs文件系统识别检测与提取的方法和系统技术方案

本发明专利技术给出了一种基于受损squashfs文件系统识别检测与提取的方法和系统，包括根据squashfs文件系统结构中的压缩数据块的头部特征，扫描压缩数据块并对其进行解码再匹配出所述压缩数据块对应的压缩类型；根据所述压缩数据块的inode table数据块和directory table数据块的特征，在所述区域范围中将inode table数据块和directory table数据块进行分离并提取出来；根据压缩数据块的frament table数据块的特征，frament table数据块的frament索引结构进行索引验证，从而确定并提取出squashfs文件系统数据中的frament table数据块；根据提取出的inode table数据块、directory table数据块及frament table数据块对squashfs文件系统数据进行识别检测与修复。本发明专利技术能最大程度上实现对受损文件系统的修复与提取，为后续进一步的数据分析提供基础。础。础。

【技术实现步骤摘要】
一种基于受损squashfs文件系统识别检测与提取的方法和系统


[0001]本专利技术涉及计算机取证安全
，尤其是一种基于受损squashfs文件系统识别检测与提取的方法和系统。

技术介绍

[0002]Squashfs是一套供Linux核心使用的只读压缩文件系统。它广泛应用于数据备份，或是系统资源紧张的嵌入式根文件系统等，支持的压缩方式有gzip、lzma1、lzma2(xz)、lz4等。
[0003]由于Squashfs数据、目录，节点信息等均被分别压缩存储，当其头部重要索引等元数据参数被覆盖或者受损时导致数据无法恢复。由于squashfs对数据、目录、节点信息等实现分别压缩管理，文件系统头部只保留其索引信息、压缩类型、压缩块大小等，一旦头部参数受损或者被覆盖极难恢复。目前，缺乏针对squashfs文件系统文件头部受损的恢复方法。
[0004]本方案分析了数据、目录、节点信息等压缩数据在文件系统中的分布结构及其相关元数据特征，在各压缩类型数据特征的基础上实现对压缩编码类型、数据、目录、节点信息等一系列区域进行识别检测最终实现对受损文件系统修复与提取。

技术实现思路

[0005]本专利技术提出了一种基于受损squashfs文件系统识别检测与提取的方法和系统，以解决上文提到的现有技术的缺陷。
[0006]在一个方面，本专利技术提出了一种基于受损squashfs文件系统识别检测与提取的方法，该方法包括以下步骤：
[0007]S1：根据squashfs文件系统结构中的压缩数据块的头部特征，扫描压缩数据块并对其进行解码再匹配出所述压缩数据块对应的压缩类型；
[0008]S2：根据所述压缩数据块的inode table数据块和directory table数据块的特征，确定squashfs文件系统数据中的inode table数据块和directory table数据块的区域范围；再结合inode table数据块解压后获得的节点信息进行校验从而确定inode table数据块的区域的边界点，在所述区域范围中将inode table数据块和directory table数据块进行分离并提取出来；
[0009]S3：根据所述压缩数据块的frament table数据块的特征，结合解压后的frament table数据块的frament索引结构进行索引验证，从而确定并提取出squashfs文件系统数据中的frament table数据块；
[0010]S4：根据提取出的inode table数据块、directory table数据块及frament table数据块对squashfs文件系统数据进行识别检测与修复。
[0011]以上方法分析了数据、目录、节点信息等压缩数据在文件系统中的分布结构及其相关元数据特征，在各压缩类型数据特征的基础上实现对压缩编码类型、数据、目录、节点
信息等区域进行识别检测最终实现对受损squashfs文件系统修复与提取。
[0012]在具体的实施例中，所述S1还包括：匹配出所述压缩数据块对应的压缩类型后，判断是否匹配出正确的压缩类型；若是，则执行S2；若否，则重复执行所述S1。
[0013]在具体的实施例中，所述根据所述压缩数据块的inode table数据块和directory table数据块的特征，确定squashfs文件系统数据中的inode table数据块和directory table数据块的区域范围，具体包括：
[0014]根据所述压缩数据块的inode table数据块和directory table数据块的特征得出实际可解压的压缩数据长度compress_len，同时根据压缩数据块的头部特征获取后续压缩块字节长度值Pre_len；
[0015]结合所述压缩数据块解压后的数据信息，同时进行匹配检测将满足Pre_len＝compress_len的数据区域作为inode table数据块和directory table数据块的区域范围。
[0016]在具体的实施例中，所述S2还包括：所述结合inode table数据块解压后获得的节点信息进行校验后，判断是否校验完毕；若是，则执行后续步骤，若否，则继续进行校验。
[0017]在具体的实施例中，所述根据所述压缩数据块的frament table数据块的特征，结合解压后的frament table数据块的frament索引结构进行索引验证，具体包括：
[0018]根据所述压缩数据块的frament table数据块的特征得出实际可解压的压缩数据长度compress_len，同时根据压缩数据块的头部特征获取后续压缩块字节长度值Pre_len；
[0019]对满足Pre_len不等于compress_len的数据区域，结合解压后的frament table数据块的frament索引结构进行索引验证，将满足frament索引结构的区域作为frament table数据块的区域。
[0020]在具体的实施例中，S3还包括：所述结合解压后的frament table数据块的frament索引结构进行索引验证后，判断索引验证是否结束；若是，则执行后续步骤，若否，则继续进行索引验证。
[0021]在具体的实施例中，所述数据压缩类型包括：gzip、lzma1、lzma2和lz4。
[0022]在具体的实施例中，所述inode table数据块解压后获得的节点信息具体包括：每个节点的节点类型、mode、uid、guid、修改时间和节点号。
[0023]根据本专利技术的第二方面，提出了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被计算机处理器执行时实施上述方法。
[0024]根据本专利技术的第三方面，提出一种基于受损squashfs文件系统识别检测与提取的系统，该系统包括：
[0025]压缩数据类型匹配模块：配置用于根据squashfs文件系统结构中的压缩数据块的头部特征，扫描压缩数据块并对其进行解码再匹配出所述压缩数据块对应的压缩类型；
[0026]节点信息校验模块：配置用于根据所述压缩数据块的inode table数据块和directory table数据块的特征，确定squashfs文件系统数据中的inode table数据块和directory table数据块的区域范围；再结合inode table数据块解压后获得的节点信息进行校验从而确定inode table数据块的区域的边界点，在所述区域范围中将inode table数据块和directory table数据块进行分离并提取出来；
[0027]索引验证模块：配置用于根据所述压缩数据块的frament table数据块的特征，结合解压后的frament table数据块的frament索引结构进行索引验证，从而确定并提取出
squashfs文件系统数据中的frament table数据块；
[0028]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于受损squashfs文件系统识别检测与提取的方法，其特征在于，包括以下步骤：S1：根据squashfs文件系统结构中的压缩数据块的头部特征，扫描压缩数据块并对其进行解码再匹配出所述压缩数据块对应的压缩类型；S2：根据所述压缩数据块的inode table数据块和directory table数据块的特征，确定squashfs文件系统数据中的inode table数据块和directory table数据块的区域范围；再结合inode table数据块解压后获得的节点信息进行校验从而确定inode table数据块的区域的边界点，在所述区域范围中将inode table数据块和directory table数据块进行分离并提取出来；S3：根据所述压缩数据块的frament table数据块的特征，结合解压后的frament table数据块的frament索引结构进行索引验证，从而确定并提取出squashfs文件系统数据中的frament table数据块；S4：根据提取出的inode table数据块、directory table数据块及frament table数据块对squashfs文件系统数据进行识别检测与修复。2.根据权利要求1所述的方法，其特征在于，所述S1还包括：匹配出所述压缩数据块对应的压缩类型后，判断是否匹配出正确的压缩类型；若是，则执行S2；若否，则重复执行所述S1。3.根据权利要求1所述的方法，其特征在于，所述根据所述压缩数据块的inode table数据块和directory table数据块的特征，确定squashfs文件系统数据中的inode table数据块和directory table数据块的区域范围，具体包括：根据所述压缩数据块的inode table数据块和directory table数据块的特征得出实际可解压的压缩数据长度compress_len，同时根据压缩数据块的头部特征获取后续压缩块字节长度值Pre_len；结合所述压缩数据块解压后的数据信息，同时进行匹配检测将满足Pre_len＝compress_len的数据区域作为inode table数据块和directory table数据块的区域范围。4.根据权利要求1所述的方法，其特征在于，所述S2还包括：所述结合inode table数据块解压后获得的节点信息进行校验后，判断是否校验完毕；若是，则执行后续步骤，若否，则继续进行校验。5.根据权利要求1所述的方法，其特征在于，所述根据所述压缩数据块的frament table数据块的特征，结合解压后的frament table数...

【专利技术属性】
技术研发人员：钟臻，沈长达，黄志炜，孙善为，傅婉莲，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：