资源描述
Windows mobile 短信数据恢复研究
摘要:随着手机取证技术日渐提高,人们已经逐渐不满足于只提取手机内存储数据,而对删除数据更有兴趣,往往删除数据是手机主人不肯为人知信息,因此对于取证办案人员来讲更具备参照价值,本文针对Windows mobile平台手机,提供了一种获取其删除短信办法。
核心字:Windows mobile 删除短信 恢复
一. 引言
随着电子技术迅猛发展,手机更新换代速度越来越快,近年来,手机平台呈现出多样化,智能化等特点。当前,常用手机智能操作系统涉及ios,Windows mobile,Android,Symbian以及Blackberry五种。而手机取证技术日趋完善,人们开始逐渐不满足于只提取手机内存储数据,反而对删除数据更有兴趣,往往删除数据是手机主人不肯为人知信息,因此对于取证办案人员来讲更有参照价值。Windows mobile作为微软公司旗下智能手机平台,拥有大量顾客群,从而对其删除数据恢复研究也更有必要。
Windows Mobile手机数据读取重要依托微软公司官方api,但是这些api只能读取正常短信(即存储在手机内短信)等数据。对于被删除数据,官方并未提供api去获取这些数据。因此要想获得删除数据,只能选取其她方式。
Windows Mobile手机短信保存在cemail.vol文献中,通讯录和通话记录保存在pim.vol文献中。这两个文献都是数据库文献,但是cemail.vol是cedb数据库文献,而pim.vol是edb数据库文献,两者文献格式是截然不同。cedb格式相对简朴某些,edb格式更为复杂。
由于手机端不能直接读取cemail.vol文献,而cemail.vol文献又被系统锁定,无法直接拷贝至PC。因此要想恢复被删除短信,就需要先把cemail.vol拷贝到PC,然后解析cemail.vol文献,找出被删除短信。
二. cemail.vol文献获取
由于cemail.vol文献无法直接拷贝,需要借用第三方工具来间接获取。Itsutils 工具是一套操作Windows Mobile手机工具,其中就有获取手机整个存储镜像办法。因而,运用itsutils获得手机整个存储镜像,然后从镜像中提取出cemail.vol文献。Itsutils 工具可以直接从网上下载。
Itsutils工具中有两个文献itsutils.dll和pdocread.exe。Itsutils.dll需要拷贝到手机上Windows文献夹下,pdocread.exe在PC端运营。
1. 运营pdocread.exe,在控制台下运营pdocread –l,将会列出手机存储器所有分区及其有关信息,保存这些信息,背面要用到。
图1 列出手机中所有分区
从图1可知,该手机共有三个分区,其大小分别为31.50M,87.95M,1.81M。
2. 依次尝试在不同扇区大小和不同分区状况下读取分区数据,依照反馈成果,判断该分区是不是保存OS数据分区,以及其扇区大小。
命令格式为:pdocread –w –b0x800 –h#0 0。0x800表达扇区大小,#0表达是序号为0分区。此时需要用不同扇区大小去试,普通状况下,扇区大小为200整数倍,惯用有0x200,0x400,0x600,0x800,0x1000。
图2 对#0分区,尝试用不同扇区大小读取
图2在序号为0分区中尝试不同扇区大小读取状况,可见该分区中扇区大小为0x200,注意如果不设立扇区大小,则默认值为0x200。由反馈信息TFAT 16可知,该分区正是TFAT格式,Windows mobile手机整个镜像就保存在该分区,因而是咱们需要分区。
图3 对其她分区,尝试用扇区大小0x1000读取
图3尝试了其她2个分区,其扇区大小均为0x1000。由反馈成果可见该分区并不是TFAT格式,不是常用文献系统。
3. 拷贝存储文献系统分区镜像。
命令为:pdocread –w –b0x200 –h#0 0 0x1f7ec00 c:\image.bin。其中第四个参数表达读取分区开始位置,第五个参数表达分区大小,第六个参数表达镜像保存途径。
图4拷贝#0分区镜像
至此,Windows mobile手机整个镜像就拷贝到了PC,分区镜像是FAT格式文献系统,按照该文献系统格式即可提取出cemail.vol文献。
而提取出cemail.vol文献正是咱们目所在,该项工作完毕之后,接下来工作就是对cemail.vol文献内容进行解析了。
三. 记录头解析
cemail.vol是cedb数据库文献,其内部包括了各种数据库,共九种数据类型,如表1所示:
表1 cedb数据库中数据类型
名称
类型
ID
CEVT_BOOL
布尔值
0x0B
CEVT_CEBLOB
二进制对象
0x41
CEVT_R8
8字节浮点数
0x05
CEVT_FILETIME
时间日期值
0x40
CEVT_I2
2字节有符号整数
0x02
CEVT_I4
4字节有符号整数
0x03
CEVT_LPWSTR
Unicode字符串
0x1F
CEVT_UI2
2字节无符号整数
0x12
CEVT_UI4
4字节无符号整数
0x13
数据库中每条记录格式可以分析出来。cedb格式记录,分为记录头和记录体,分别包括了列类型信息和列数据,因而只要把符合短信构造记录提取出来进行解析就可以了。列类型信息可以从每条记录记录头判断,这里所有数据采用小端模式存储。
如下过程用以辨认一条记录记录头:
1. 搜索整个文献,找到一种四字节构造(表达一种记录域类型):[0x0b|0x41|0x05|0x40|0x02|0x03|0x1f|0x12|0x13],[0|1],*,*。
2. 检查这个四字节构造前8字节,所示是记录头边界,普通前4个字节全是0。
3. 在1中,如果四字节构造中第二个字节是1,则代表这个类型列是最后一列,跳至 6。
4. 如果四字节构造中第二个字节是0,则继续读取接下来四个字节,仍旧是这样构造:[0x0b|0x41|0x05|0x40|0x02|0x03|0x1f|0x12|0x13],[0|1],*,*。
5. 如果在4中,第二个字节为0,则表达该类型不是最后一列,跳至4。
6. 辨认过程结束,这是一种潜在记录头。
每个四字节构造后两个字节表达逻辑意义,例如短信内容、发信人等。
在辨认完一条记录记录头之后,就可以判断该条记录构造,对于Windows mobile 6.5来讲,短信构造定义为14列,列类型编码分别为:13 13 13 1F 1F 1F 1F 13 40 13 13 13 13 40,其中,第五列表达短信内容,第六列表达对方手机号码,而第九列表达发送或接受短信时间。辨认出短信构造记录之后就需要对记录体进行解析了。
四. 记录体解析
由于Windows mobile中数据采用是Unicode编码方式,因而cemail.vol文献中记录体被分为偶数字符链和奇数字符链。在存储数据时对偶数字符链和奇数字符链分别进行压缩,对Unicode编码具备更好压缩效果。自然地,在解析数据时,就需要分别判断其与否通过了压缩,若通过压缩则要分别解压缩。
图5为Windows mobile 6.5平台 cemail.vol文献中一条记录。
图5 Windows mobile 6.5 平台cemail.vol文献中一条记录
详细解析过程如下:
1. 如图5所示,0x3a1a0-0x3a1d7表达记录头,0x3a198-0x3a19f表达记录头边界。在记录头边界中,前4个字节总是0,接下来第5和第6两个字节低14位表达记录体原始数据长度,这里是0x80;高2位是一种标记,这里0x40表达记录体中数据通过了压缩。最后第7,第8两个字节低14位表达压缩后数据长度,这里是0x76;高2位也是一种标记,含义未知。
2. 0x3a1a0-0x3a1d7表达14列记录类型数据,每4个字节表达一种类型。0x3a1d5值为1,表达该类型是最后一列。
3. 接下来就是记录体内容,由于记录体被分为偶数字符链和奇数字符链,因此在记录体中,紧跟在记录头背面是偶数字符链有关信息。其中,0x3a1d8-0x3a1d9两个字节低15位表达偶数字符链长度,最高位是一种标记,表达偶数字符链与否被压缩,0x80表达没有压缩,0x00表达通过压缩,即1表达没有压缩,0表达通过了压缩。
4. 若偶数字符链没有被压缩,则跟在背面就是偶数字符链内容,图5中偶数字符链没有被压缩,其长度为0x40。
若偶数字符链通过了压缩,则由于在解压缩时需要懂得压缩前数据长度,即原始数据长度,因此跟在背面3个字节表达原始数据长度,再背面3个字节表达压缩后长度(涉及这6个字节),之后就是偶数字符链内容了。
5. 偶数字符链之后就是是奇数字符链,由于奇数字符链是都要通过压缩,因而下来3个字节表达数据原始长度,再下来3个字节表达压缩后长度(涉及这6个字节),之后就是奇数字符链内容。
6. 偶数字符链和奇数字符链分别通过解压缩(如果被压缩话),然后一偶一奇依次拼凑后就得到了记录体。这里使用压缩算法不是常用原则压缩算法,而是微软自己算法,详细计算办法可以通过逆向工程得到,分析对象是cedb400.dll,来自于Windows CE Platform Builder,在WINCE520\PUBLIC\COMMON\OAK\BIN\I386目录下。
这样通过解析cemail.vol文献中记录所得到短信,通过和正常渠道得到 短信对比,便可拟定哪些是已经删除短信。
五. 结束语
随着行业内部对删除数据恢复需求越来越明确,无形中增长了对删除数据恢复研究必要性。Windows mobile作为微软旗下手机智能操作系统,大量顾客群是研究人员动力,由于微软公司不会发布各种数据在数据库中存储格式,因此当前对数据研究只能通过猜并且验证方式。Windows mobile智能操作系统有各种版本,不同版本之间数据存储格式也有一定差别,本文提供办法对Windows mobile所有版本有效,但是对于短信数据格式仅限于Windows mobile 6.5,其版本众多也决定了对其删除数据恢复研究有着更美好前景。
参照文献
[1] C.Klaver. Windows Mobile advanced forensics [J]. DIGITAL INVESTIGATION 6, ,pp:147-167
[2] ~itsme/cvs-xdadevtools/itsutils
作者简介
金星,男,北京锐安科技西安研发中心软件工程师,本科,重要研究方向为手机取证和 手机安全;
曹雪芬,女,北京锐安科技西安研发中心软件工程师,研究生,重要研究方向为手机取 证。
联系人
姓名:曹雪芬
联系方式:,
通信地址:陕西省 西安市高新区科技路37号海星都市广场B座2906室
邮编:710075
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
