馬慶杰，李炳龍，位麗娜

(1.信息工程大學(xué)，鄭州 450004; 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州 450004)

(*通信作者電子郵箱lblc2006@163.com)

基于SQLite內(nèi)容雕刻的恢復(fù)技術(shù)

馬慶杰1,2，李炳龍1,2*，位麗娜1,2

(1.信息工程大學(xué)，鄭州 450004; 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，鄭州 450004)

(*通信作者電子郵箱lblc2006@163.com)

SQLite數(shù)據(jù)庫(kù)被眾多即時(shí)通信軟件用于存儲(chǔ)歷史數(shù)據(jù)。在即時(shí)通信取證過(guò)程中，犯罪分子為阻礙司法部門(mén)的調(diào)查，往往隱藏、刪除或覆蓋重要的通信數(shù)據(jù)。目前的數(shù)據(jù)恢復(fù)方法效率較低，無(wú)法恢復(fù)被覆蓋的數(shù)據(jù)。針對(duì)上述問(wèn)題，提出了一種基于SQLite的內(nèi)容雕刻算法，分析SQLite數(shù)據(jù)庫(kù)文件的存儲(chǔ)特性和數(shù)據(jù)刪除機(jī)制，以空閑域?yàn)閱挝恍纬煽臻e域鏈表，以頁(yè)結(jié)構(gòu)為單位進(jìn)行細(xì)粒度的內(nèi)容雕刻，并根據(jù)數(shù)據(jù)被覆蓋的位置對(duì)零散數(shù)據(jù)塊進(jìn)行有效拼接。實(shí)驗(yàn)結(jié)果表明，SQLite內(nèi)容雕刻算法可有效在本地和移動(dòng)終端恢復(fù)即時(shí)通信的歷史數(shù)據(jù)，當(dāng)數(shù)據(jù)庫(kù)未受損時(shí)，恢復(fù)率可達(dá)到100%；而當(dāng)刪除域受到不同程度的覆蓋時(shí)，恢復(fù)率仍然可達(dá)到50%左右，并具有較高的效率。

SQLite；刪除域；即時(shí)通信；取證調(diào)查；內(nèi)容雕刻；恢復(fù)率

0 引言

即時(shí)通信(Instant Messaging，IM)以其即時(shí)性、穩(wěn)定性、安全性，以及多格式交流等特性，已成為當(dāng)今通信的主要手段之一。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(China Internet Network Information Center, CNNIC)統(tǒng)計(jì)數(shù)據(jù)[1]，截止2016年1月，我國(guó)網(wǎng)民中即時(shí)通信用戶(hù)的規(guī)模達(dá)到6.24億，占網(wǎng)民總體的90.7%，其中手機(jī)即時(shí)通信用戶(hù)5.57億，占手機(jī)網(wǎng)民的89.9%，在我國(guó)網(wǎng)絡(luò)應(yīng)用使用率中排名第一。與此同時(shí)，利用即時(shí)通信軟件進(jìn)行經(jīng)濟(jì)詐騙、毒品交易等的惡意犯罪事件逐年上升。尤其對(duì)于市場(chǎng)份額增長(zhǎng)迅速的WhatsApp、微信、陌陌等移動(dòng)即時(shí)通信軟件，謠言、暴力、色情等問(wèn)題在這些新型社交平臺(tái)上快速泛濫。2015年5月，北京市網(wǎng)絡(luò)安全反詐騙聯(lián)盟共接到網(wǎng)絡(luò)詐騙報(bào)案4 920例，報(bào)案總金額高達(dá)1 772.3萬(wàn)元，其中借助即時(shí)通信的案件占比例為37.2%[2]。

SQLite[3-4]是一款輕量級(jí)嵌入式的關(guān)系型數(shù)據(jù)庫(kù)，完全兼容數(shù)據(jù)庫(kù)事務(wù)正確執(zhí)行的四要素Atomicity，Consistency，Isolation，Durability(ACID)，并實(shí)現(xiàn)了大部分SQL標(biāo)準(zhǔn)，使用動(dòng)態(tài)類(lèi)型的SQL語(yǔ)法。由于SQLite具有較好的靈活性和兼容性，以及本地存儲(chǔ)特性，許多即時(shí)通信軟件采用SQLite數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)其產(chǎn)生的歷史數(shù)據(jù)[5]，例如QQ、Skype、微信等。但犯罪分子往往對(duì)SQLite中的數(shù)據(jù)進(jìn)行隱藏、刪除、覆蓋等反取證破壞，在取證過(guò)程中，應(yīng)最大限度地恢復(fù)出已被破壞的重要數(shù)據(jù)。文獻(xiàn)[6]中針對(duì)惡意銷(xiāo)毀行為，研究了二進(jìn)制可執(zhí)行文件的恢復(fù)方法；文獻(xiàn)[7]通過(guò)分析Ext2/3文件系統(tǒng)，研究了提高恢復(fù)效率的方法；文獻(xiàn)[8]研究了如何根據(jù)YAFFS2 和SQLite重構(gòu)用戶(hù)行為，但并未對(duì)其數(shù)據(jù)恢復(fù)進(jìn)行深入研究，恢復(fù)重構(gòu)率較低；文獻(xiàn)[9]利用YAFFS2文件系統(tǒng)的out-of-place-write策略，以時(shí)間線為依據(jù)來(lái)恢復(fù)數(shù)據(jù)庫(kù)內(nèi)用戶(hù)操作記錄，但對(duì)于數(shù)據(jù)庫(kù)中被覆蓋破壞的數(shù)據(jù)無(wú)法有效恢復(fù)。

本文提出一種基于SQLite內(nèi)容雕刻的即時(shí)通信取證方法，利用SQLite的存儲(chǔ)特性和數(shù)據(jù)刪除機(jī)制，以空閑域?yàn)閱挝恍纬煽臻e域鏈表，以頁(yè)結(jié)構(gòu)為單位進(jìn)行細(xì)粒度的內(nèi)容雕刻，并根據(jù)數(shù)據(jù)被覆蓋的位置對(duì)零散數(shù)據(jù)塊進(jìn)行有效拼接。該方法能實(shí)現(xiàn)細(xì)粒度的恢復(fù)效果，提高信息恢復(fù)的恢復(fù)率，為取證人員提供了一種有效的即時(shí)通信取證方法。

1 SQLite文件結(jié)構(gòu)分析

1.1 數(shù)據(jù)庫(kù)文件頭

SQLite數(shù)據(jù)庫(kù)的基本存儲(chǔ)單位是頁(yè)(page)，頁(yè)的大小默認(rèn)為210Byte。數(shù)據(jù)庫(kù)中信息的讀、寫(xiě)、刪除操作均是以頁(yè)為單位進(jìn)行，頁(yè)的類(lèi)型有B-tree頁(yè)、B+tree頁(yè)、空閑頁(yè)、溢出頁(yè)等，頁(yè)的編號(hào)從1到n。

SQLite數(shù)據(jù)庫(kù)中的數(shù)據(jù)存儲(chǔ)在多個(gè)Btree頁(yè)中，一個(gè)完整的Btree頁(yè)主要包含三種類(lèi)型的數(shù)據(jù)結(jié)構(gòu)：文件頭(根頁(yè))、頁(yè)頭和單元內(nèi)容區(qū)。數(shù)據(jù)庫(kù)文件的第一個(gè)頁(yè)(根頁(yè))包含100Byte的文件頭信息，稱(chēng)作文件頭頁(yè)。數(shù)據(jù)頁(yè)采用B+tree頁(yè)，索引頁(yè)采用B-tree頁(yè)。

文件頭主要用于記錄數(shù)據(jù)庫(kù)的頭標(biāo)識(shí)、頁(yè)大小、空閑頁(yè)地址、編碼方式和版本等重要信息，用WinHex打開(kāi)微信中存儲(chǔ)位置信息的數(shù)據(jù)庫(kù)revsers_geo_cache.db，如圖1所示，其中偏移地址0x00 00～0x00 63為文件頭詳細(xì)信息，文件頭的部分元素解析如表1所示。

圖1 SQLite文件頭

表1 SQLite文件頭格式解析

文件頭前16Byte是固定標(biāo)識(shí)，即字符串“SQLitefromat3