信息网络安全 ›› 2016, Vol. 16 ›› Issue (5): 51-57.doi: 10.3969/j.issn.1671-1122.2016.05.008

• 技术研究 • 上一篇    下一篇

基于Hash的YAFFS2文件各版本恢复算法研究

李亚萌(), 何泾沙   

  1. 北京工业大学软件学院,北京 100124
  • 收稿日期:2016-04-01 出版日期:2016-05-20 发布日期:2020-05-13
  • 作者简介:

    李亚萌(1992—),女,天津,硕士研究生,主要研究方向为智能终端取证;何泾沙(1961—),男,陕西,教授,博士,主要研究方向为网络安全、测试与分析和云计算。

  • 基金资助:
    国家高技术研究发展计划(国家863计划) [2015AA017204]

Research on Different Versions of YAFFS2 File Recovery Algorithm Based on Hash

Yameng LI(), Jingsha HE   

  1. School of Software Engineering, Beijing University of Technology, Beijing 100124, China
  • Received:2016-04-01 Online:2016-05-20 Published:2020-05-13

摘要:

Android取证过程中,包含了数据提取、数据恢复等方向,其中数据恢复是Android取证研究中非常重要的一个环节,只有更好、更多地恢复终端中的数据,特别是一些被修改或者删除的数据,才能更好地开展对后续数据的分析和研究。YAFFS2文件系统是一种新型的快速闪存文件系统,该文件系统被设计用在使用NAND闪存技术的移动终端中,也是目前广泛应用于Android移动终端中的新型文件系统。文章选择YAFFS2文件系统作为研究对象,提出了一种基于Hash的YAFFS2文件各版本恢复算法。首先通过反向扫描获得该文件系统中的数据信息;然后将具有相同对象头信息的数据提取,并将其中的信息存入Hash链表中;最后重构文件以实现对多个版本的文件恢复。文章通过在Linux系统下搭建YAFFS2文件系统环境,并进行实验,证明了该算法可有效地对各类型数据文件进行恢复,特别是可恢复SQLite3数据库文件,并且可恢复各类型文件的多个版本,实现并达到了设计算法的预期目标,也为后续对Android取证中其他方面的研究打下了一定的基础。

关键词: 数字取证, 文件恢复, Android系统, YAFFS2, Hash

Abstract:

In digital forensic, the technology of Android forensic becomes hot spot of research currently. And there are some research interests such as data extraction, data recovery for Android forensic. Among these research interests, data recovery is one of the most important step. YAFFS2 is a new flash file system. It is designed for mobile devices which use NAND flash and is widely used in Android devices. Thus, this paper proposes a method that recover different versions of YAFFS2 file based on Hash. Through extracting and storing the same object header information into Hash linked list, it can recover different versions of file. The experiment is executed under Linux system with YAFFS2 file system environment. And the experiment results show that the method can recover different types of file especially SQLite3 file and recover different versions of different types of file effectively. And this method lays the foundation for the follow-up research of Android forensic.

Key words: digital forensics, file recovery, Android, YAFFS2, Hash

中图分类号: