【技术实现步骤摘要】
本专利技术属于信息安全与计算机应用
,涉及一种IM删除信息的恢复方法。
技术介绍
采用复合文件作为存储结构的IM删除信息的恢复,目前国内研究比较少,较为完整的技术文档和相关专利也较少。目前市场上已有IM删除信息恢复的软件,但是局限性很大,而且目前没有发现頂删除信息恢复相关公开的技术文档或专利。SafeAnalyzer是一款具备IM删除信息恢复的软件,但是由于对存储IM信息的复合文件中的未使用空间挖掘不充分,导致只能恢复出部分的IM删除信息。IM删除信息恢复,主要依赖于复合文件中未使用空间的获取和IM数据特征的搜索。目前已有的技术,对未分配空间的挖掘只限于文件残留区和复合文件中空闲空间(即标志为-I的块)。由于,在很多情况下IM信息被删除后,数据并没有流入到文件残留区或者 空闲空间中,因此采用传统的恢复方法往往恢复效果不尽人意。我们在研究了复合文件格式的基础上,提出了一种采用复合文件作为存储结构的IM删除信息的恢复方法。该方法采用全局标识的方法,尽最大可能的获取了复合文件中未使用空间并进行頂删除信息恢复,从而使頂删除信息的恢复更加完整和准确。
技术实现思路
本专利技术所...
【技术保护点】
一种IM删除信息的恢复方法,其特征在于:包括未使用空间数据的获取方法和从未使用空间中恢复删除数据的方法,其中:删除的IM信息数据主要流入到复合文件的三个地方:空闲扇区、文件残留区、无目录结构对应的扇区;所述未使用空间数据的获取方法由以下几个步骤实现:a)?预处理:解析复合文件的头部结构,并获取长扇区分配表SAT、短扇区分配表SSAT、以及长扇区的长度LSectorSize和短扇区长度LSectorSize,并用N=LSectorSize/LSectorSize表示长扇区长度是短扇区长度的多少倍,解析目录流结构,获取复合文件中各个文件的对应的扇区链;b)?空闲扇区的获取:空闲...
【技术特征摘要】
1.一种頂删除信息的恢复方法,其特征在于包括未使用空间数据的获取方法和从未使用空间中恢复删除数据的方法,其中 删除的頂信息数据主要流入到复合文件的三个地方空闲扇区、文件残留区、无目录结构对应的扇区; 所述未使用空间数据的获取方法由以下几个步骤实现 a)预处理解析复合文件的头部结构,并获取长扇区分配表SAT、短扇区分配表SSAT>以及长扇区的长度LSectorSize和短扇区长度LSectorSize,并用N=LSectorSize/LSectorSize表示长扇区长度是短扇区长度的多少倍,解析目录流结构,获取复合文件中各个文件的对应的扇区链; b)空闲扇区的获取空闲空间为扇区表中value为-I所对应的扇区,因此获取空闲空间的步骤为遍历整个扇区表,将扇区表中value为-I对应的扇区的数据放入到pUnusedBuffer ; C)文件残留区的获取;遍历复合文件里面包含的所有文件,如果发现sectorsize*n> filesize,则将该文件从偏移filesize到偏移sectorsize*n区间所包含的数据加入到pUnusedBuffer 中; d)无目录结构对应的扇区的获取在扇区表中,有一些扇区链没有被文件指向,这些链对应的扇区就是无目录结构的扇区,在某些情况下,当一些頂信息被删除时,只是清空相应的目录结构,扇区表中的扇区链并没有清空,为了获取这些扇区的信息,采用全局标记的方法进行获取; 所述从未使用空间中恢复删除数据的方法由以下几个步骤实现 A)删除聊天记录的恢复确定所获取的pUnusedBuffer数据中是否包含正常的聊天记录需要以下步骤 1)、初步判断根据聊天记录的格式,判断总长度是否等于“0xl4+4+dwBlockLenl+4+dwBlockLen2,,; 2)、再次确认对第二部分的数据进行解密,判断是否解密成功,并判断解密后的头8个字节为 0x4d, 0x53,0x47,0x00,0x00,0x00,0x00,OxOO ; 当1)、2)步骤都判断为是聊天记录的格式是就开始按聊天记录的格式去解析,解析完可进一步判断聊天记录是好友、群还是讨论组,具体做法为,根据第三部分数据解出来的字段名和值的集合,在集合中查找接收者帐号ID对应的值进行判断,通过分析正...
【专利技术属性】
技术研发人员:沈长达,沈少凡,林艺滨,钱镜洁,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。