基于SQLite內容雕刻的恢復技術

馬慶杰，李炳龍，位麗娜

(1.信息工程大學，鄭州 450004; 2.數學工程與先進計算國家重點實驗室，鄭州 450004)

(*通信作者電子郵箱lblc2006@163.com)

基于SQLite內容雕刻的恢復技術

馬慶杰1,2，李炳龍1,2*，位麗娜1,2

(1.信息工程大學，鄭州 450004; 2.數學工程與先進計算國家重點實驗室，鄭州 450004)

(*通信作者電子郵箱lblc2006@163.com)

SQLite數據庫被眾多即時通信軟件用于存儲歷史數據。在即時通信取證過程中，犯罪分子為阻礙司法部門的調查，往往隱藏、刪除或覆蓋重要的通信數據。目前的數據恢復方法效率較低，無法恢復被覆蓋的數據。針對上述問題，提出了一種基于SQLite的內容雕刻算法，分析SQLite數據庫文件的存儲特性和數據刪除機制，以空閑域為單位形成空閑域鏈表，以頁結構為單位進行細粒度的內容雕刻，并根據數據被覆蓋的位置對零散數據塊進行有效拼接。實驗結果表明，SQLite內容雕刻算法可有效在本地和移動終端恢復即時通信的歷史數據，當數據庫未受損時，恢復率可達到100%；而當刪除域受到不同程度的覆蓋時，恢復率仍然可達到50%左右，并具有較高的效率。

SQLite；刪除域；即時通信；取證調查；內容雕刻；恢復率

0 引言

即時通信(Instant Messaging，IM)以其即時性、穩定性、安全性，以及多格式交流等特性，已成為當今通信的主要手段之一。據中國互聯網絡信息中心(China Internet Network Information Center, CNNIC)統計數據[1]，截止2016年1月，我國網民中即時通信用戶的規模達到6.24億，占網民總體的90.7%，其中手機即時通信用戶5.57億，占手機網民的89.9%，在我國網絡應用使用率中排名第一。與此同時，利用即時通信軟件進行經濟詐騙、毒品交易等的惡意犯罪事件逐年上升。尤其對于市場份額增長迅速的WhatsApp、微信、陌陌等移動即時通信軟件，謠言、暴力、色情等問題在這些新型社交平臺上快速泛濫。2015年5月，北京市網絡安全反詐騙聯盟共接到網絡詐騙報案4 920例，報案總金額高達1 772.3萬元，其中借助即時通信的案件占比例為37.2%[2]。

SQLite[3-4]是一款輕量級嵌入式的關系型數據庫，完全兼容數據庫事務正確執行的四要素Atomicity，Consistency，Isolation，Durability(ACID)，并實現了大部分SQL標準，使用動態類型的SQL語法。由于SQLite具有較好的靈活性和兼容性，以及本地存儲特性，許多即時通信軟件采用SQLite數據庫來存儲其產生的歷史數據[5]，例如QQ、Skype、微信等。但犯罪分子往往對SQLite中的數據進行隱藏、刪除、覆蓋等反取證破壞，在取證過程中，應最大限度地恢復出已被破壞的重要數據。文獻[6]中針對惡意銷毀行為，研究了二進制可執行文件的恢復方法；文獻[7]通過分析Ext2/3文件系統，研究了提高恢復效率的方法；文獻[8]研究了如何根據YAFFS2 和SQLite重構用戶行為，但并未對其數據恢復進行深入研究，恢復重構率較低；文獻[9]利用YAFFS2文件系統的out-of-place-write策略，以時間線為依據來恢復數據庫內用戶操作記錄，但對于數據庫中被覆蓋破壞的數據無法有效恢復。

本文提出一種基于SQLite內容雕刻的即時通信取證方法，利用SQLite的存儲特性和數據刪除機制，以空閑域為單位形成空閑域鏈表，以頁結構為單位進行細粒度的內容雕刻，并根據數據被覆蓋的位置對零散數據塊進行有效拼接。該方法能實現細粒度的恢復效果，提高信息恢復的恢復率，為取證人員提供了一種有效的即時通信取證方法。

1 SQLite文件結構分析

1.1 數據庫文件頭

SQLite數據庫的基本存儲單位是頁(page)，頁的大小默認為210Byte。數據庫中信息的讀、寫、刪除操作均是以頁為單位進行，頁的類型有B-tree頁、B+tree頁、空閑頁、溢出頁等，頁的編號從1到n。

SQLite數據庫中的數據存儲在多個Btree頁中，一個完整的Btree頁主要包含三種類型的數據結構：文件頭(根頁)、頁頭和單元內容區。數據庫文件的第一個頁(根頁)包含100Byte的文件頭信息，稱作文件頭頁。數據頁采用B+tree頁，索引頁采用B-tree頁。

文件頭主要用于記錄數據庫的頭標識、頁大小、空閑頁地址、編碼方式和版本等重要信息，用WinHex打開微信中存儲位置信息的數據庫revsers_geo_cache.db，如圖1所示，其中偏移地址0x00 00～0x00 63為文件頭詳細信息，文件頭的部分元素解析如表1所示。

圖1 SQLite文件頭

表1 SQLite文件頭格式解析

文件頭前16Byte是固定標識，即字符串“SQLitefromat3

主站蜘蛛池模板： 色婷婷狠狠干| 91探花国产综合在线精品| 老司机精品久久| 欧美97欧美综合色伦图| 第九色区aⅴ天堂久久香| 一级看片免费视频| 国产精品99在线观看| 视频在线观看一区二区| 浮力影院国产第一页| 国产精品深爱在线| 亚洲精品va| 国产va欧美va在线观看| 久久婷婷五月综合色一区二区| 亚洲天堂啪啪| 91青青草视频在线观看的| 熟妇丰满人妻| 久久国产精品影院| 亚洲三级影院| 夜夜拍夜夜爽| 久久人午夜亚洲精品无码区| 欧美精品在线观看视频| 成人在线亚洲| 国产不卡网| 欧美精品影院| 一级毛片中文字幕| 欧美翘臀一区二区三区| 久久精品91麻豆| 亚洲码一区二区三区| 日本尹人综合香蕉在线观看| 91小视频在线播放| 国产在线视频自拍| 97久久精品人人| 国产美女一级毛片| 国产素人在线| 欧洲亚洲一区| 亚洲婷婷六月| 久久婷婷人人澡人人爱91| 在线播放国产99re| 亚洲国产黄色| 成人综合久久综合| 精品亚洲国产成人AV| 真人高潮娇喘嗯啊在线观看| 91无码人妻精品一区二区蜜桃| 欧美黄网站免费观看| 欧美成人亚洲综合精品欧美激情| 国产色婷婷| 亚洲视频无码| 无码丝袜人妻| 97久久免费视频| 欧美丝袜高跟鞋一区二区| 高清久久精品亚洲日韩Av| 浮力影院国产第一页| 中文字幕有乳无码| 国产1区2区在线观看| 国产精品微拍| 亚洲最大福利网站| AV片亚洲国产男人的天堂| 40岁成熟女人牲交片免费| 国产在线精品99一区不卡| 麻豆国产精品一二三在线观看| 日本精品影院| 精品久久人人爽人人玩人人妻| 波多野结衣在线se| 日韩在线永久免费播放| 国产精品无码一二三视频| 99精品热视频这里只有精品7| 久久综合九九亚洲一区| 亚洲一区二区三区国产精华液| 国产在线视频导航| 亚洲高清日韩heyzo| 欧美第一页在线| 波多野结衣一二三| 91精品aⅴ无码中文字字幕蜜桃 | 色网站在线视频| 亚洲日韩精品综合在线一区二区| 69av在线| 欧美在线伊人| 99热精品久久| 美女免费黄网站| 亚洲无码91视频| 永久成人无码激情视频免费| 国产日韩欧美在线视频免费观看|