Windows mobile短信的数据恢复研究.docVIP

Windows mobile 短信的数据恢复研究摘要：随着手机取证技术的日渐提高，人们已经逐渐不满足于只提取手机内存储的数据，而对删除的数据更有兴趣，往往删除的数据是手机的主人不愿为人知的信息，所以对于取证的办案人员来讲更具有参考价值，本文针对Windows mobile平台手机，提供了一种获取其删除短信的方法。关键字：Windows mobile 删除短信 恢复一. 引言随着电子技术的迅猛发展，手机更新换代的速度越来越快，近年来，手机平台呈现出多样化，智能化等特点。目前，常见的手机智能操作系统包括ios，Windows mobile，Android，Symbian以及Blackberry五种。而手机取证技术日趋完善，人们开始逐渐不满足于只提取手机内存储的数据，反而对删除的数据更有兴趣，往往删除的数据是手机的主人不愿为人知的信息，所以对于取证的办案人员来讲更有参考价值。Windows mobile作为微软公司旗下的智能手机平台，拥有大量的用户群，从而对其删除数据的恢复研究也更有必要。Windows Mobile的手机数据读取主要依靠微软公司的官方api，但是这些api只能读取正常的短信（即存储在手机内的短信）等数据。对于被删除的数据，官方并未提供api去获取这些数据。所以要想获得删除的数据，只能选择其他方式。Windows Mobile手机的短信保存在cemail.vol文件中，通讯录和通话记录保存在pim.vol文件中。这两个文件都是数据库文件，但是cemail.vol是cedb数据库文件，而pim.vol是edb数据库文件，二者的文件格式是截然不同的。cedb的格式相对简单一些，edb的格式更为复杂。由于手机端不能直接读取cemail.vol文件，而cemail.vol文件又被系统锁定，无法直接拷贝至PC。所以要想恢复被删除的短信，就需要先把cemail.vol拷贝到PC，然后解析cemail.vol文件，找出被删除的短信。 二. cemail.vol文件的获取 由于cemail.vol文件无法直接拷贝，需要借用第三方工具来间接获取。Itsutils 工具是一套操作Windows Mobile手机的工具，其中就有获取手机整个存储镜像的方法。因此，利用itsutils获得手机的整个存储镜像，然后从镜像中提取出cemail.vol文件。Itsutils 工具可以直接从网上下载。Itsutils工具中有两个文件itsutils.dll和pdocread.exe。Itsutils.dll需要拷贝到手机上的Windows文件夹下，pdocread.exe在PC端运行。1. 运行pdocread.exe，在控制台下运行pdocread l，将会列出手机存储器的所有分区及其相关信息，保存这些信息，后面要用到。图1 列出手机中的所有分区 从图1可知，该手机共有三个分区，其大小分别为31.50M，87.95M，1.81M。2. 依次尝试在不同的扇区大小和不同的分区情况下读取分区数据，根据反馈的结果，判断该分区是不是保存OS数据的分区，以及其扇区的大小。命令格式为：pdocread w b0x800 h#0 0。0x800表示扇区大小，#0表示是序号为0的分区。此时需要用不同的扇区大小去试，通常情况下，扇区的大小为200的整数倍，常用的有0x200，0x400，0x600，0x800，0x1000。图2 对#0分区，尝试用不同的扇区大小读取图2在序号为0的分区中尝试不同扇区大小的读取情况，可见该分区中的扇区大小为0x200，注意如果不设置扇区大小，则默认值为0x200。由反馈信息TFAT 16可知，该分区正是TFAT格式，Windows mobile手机的整个镜像就保存在该分区，因此是我们需要的分区。图3 对其他分区，尝试用扇区大小0x1000读取图3尝试了其他2个分区，其扇区大小均为0x1000。由反馈结果可见该分区并不是TFAT格式，不是常见的文件系统。3. 拷贝存储文件系统的分区的镜像。命令为：pdocread w b0x200 h#0 0 0x1f7ec00 c:image.bin。其中第四个参数表示读取分区的开始位置，第五个参数表示分区的大小，第六个参数表示镜像的保存路径。图4拷贝#0分区镜像 至此，Windows mobile手机的整个镜像就拷贝到了PC，分区的镜像是FAT格式的文件系统，按照该文件系统格式即可提取出cemail.vol文件。 而提取出cemail.vol文件正是我们的目的所在，该项工作完成之后，接下来的工作就是对cemail.vol文件内容进行解析了。三. 记录头的解析 cemail.vol是cedb数据库文件，其内部包含了多个数据库，共九种数据类型，如表1所示：表1 cedb数据库中数据类型名称类型IDCEVT_BOOL布尔值0x0BCEVT_CEBLOB二进制对象0x41CEVT_R88字节浮点数0x05CEVT_FILETIME时间日期值0x40CEVT_I22字节有符号整数0x02CEVT_I44字节有符号整数0x03CEVT_LPWSTRUnicode字符串0x1FCEVT_UI22字节无符号整数0x12CEVT_UI44字节无符号整数0x13 数据库中每条记录的格式可以分析出来。cedb格式的记录，分为记录头和记录体，分别包含了列的类型信息和列的数据，因此只要把符合短信结构的记录提取出来进行解析就可以了。列的类型信息可以从每条记录的记录头判断，这里所有的数据采用小端模式存储。 以下过程用以识别一条记录的记录头：1 搜索整个文件，找到一个四字节的结构（表示一个记录域的类型）：0x0b|0x41|0x05|0x40|0x02|0x03|0x1f|0x12|0x13, 0|1, *, *。2 检查这个四字节结构的前8字节，所表示的是记录头边界，一般前4个字节全是0。3 在1中，如果四字节结构中第二个字节是1，则代表这个类型的列是最后一列，跳至 6。4 如果四字节结构中第二个字节是0，则继续读取接下来的四个字节，依旧是这样的结构：0x0b|0x41|0x05|0x40|0x02|0x03|0x1f|0x12|0x13, 0|1, *, *。5 如果在4中，第二个字节为0，则表示该类型不是最后一列，跳至4。6 识别过程结束，这是一个潜在的记录头。 每个四字节结构的后两个字节表示逻辑意义，比如短信内容、发信人等。 在识别完一条记录的记录头之后，就可以判断该条记录的结构，对于Windows mobile 6.5来讲，短信结构定义为14列，列的类型编码分别为：13 13 13 1F 1F 1F 1F 13 40 13 13 13 13 40，其中，第五列表示短信的内容，第六列表示对方的手机号码，而第九列表示发送或接收短信的时间。识别出短信结构的记录之后就需要对记录体进行解析了。四. 记录体的解析由于Windows mobile中数据采用的是Unicode编码方式，因此cemail.vol文件中的记录体被分为偶数字符链和奇数字符链。在存储数据时对偶数字符链和奇数字符链分别进行压缩，对Unicode编码具有更好的压缩效果。自然地，在解析数据时，就需要分别判断其是否经过了压缩，若经过压缩则要分别解压缩。图5为Windows mobile 6.5平台 cemail.vol文件中的一条记录。图5 Windows mobile 6.5 平台cemail.vol文件中的一条记录 具体解析过程如下：1 如图5所示，0x3a1a0-0x3a1d7表示记录头，0x3a198-0x3a19f表示记录头的边界。在记录头边界中，前4个字节总是0，接下来第5和第6两个字节的低14位表示记录体原始数据的长度，这里是0x80；高2位是一个标识，这里0x40表示记录体中的数据经过了压缩。最后的第7，第8两个字节的低14位表示压缩后的数据的长度，这里是0x76；高2位也是一个标识，含义未知。2 0x3a1a0-0x3a1d7表示14列记录类型的数据，每4个字节表示一个类型。0x3a1d5的值为1，表示该类型是最后一列。3 接下来就是记录体的内容，由于记录体被分为偶数字符链和奇数字符链，所以在记录体中，紧跟在记录头后面的是偶数字符链的相关信息。其中，0x3a1d8-0x3a1d9两个字节的低15位表示偶数字符链的长度，最高位是一个标识，表示偶数字符链是否被压缩，0x80表示没有压缩，0x00表示经过压缩，即1表示没有压缩，0表示经过了压缩。4 若偶数字符链没有被压缩，则跟在后面的就是偶数字符链的内容，图5中偶数字符链没有被压缩，其长度为0x40。若偶数字符链经过了压缩，则由于在解压缩时需要知道压缩前的数据长度，即原始数据长度，所以跟在后面的3个字节表示原始数据的长度，再后面的3个字节表示压缩后的长度（包括这6个字节），之后的就是偶数字符链的内容了。5 偶数字符链之后就是是奇数字符链，由于奇数字符链是都要经过压缩的，因此下来的3个字节表示数据的原始长度，再下来的3个字节表示压缩后的长度（包括这6个字节），之后就是奇数字符链的内容。6 偶数字符链和奇数字符链分别经过解压缩（如果被压缩的话），然后一偶一奇依次拼凑后就得到了记录体。这里使用的压缩算法不是常见的标准压缩算法，而是微软自己的算法，具体计算方法可以通过逆向工程得到，分析对象是cedb400.dll，来自于Windows CE Platform Builder，在WINCE520PUBLICCOMMONOAKBINI386目录下。 这样通过解析cemail.vol文件中的记录所得到的短信，通过和正常渠道得到的 短信对比，便可确定哪些是已经删除的短信。五. 结束语 随着行业内部对删除数据的恢复需求越来越明确，无形中增加了对删除数据恢复研究的必要性。Windows mobile作为微软旗下的手机智能操作系统，大量的用户群是研究人员的动力，由于微软公司不会公布各种数据在数据库中的存储格式，所以目前对数据的研究只能通过猜并且验证的方式。Windows mobile智能操作系统有多种版本，不同版本之间数据的存储格式也有一定的差别，本文提供的方法对Windows mobile所有版本有效，但是对于短信的数据格式仅限于Windows mobile 6.5，其版本众多也决定了对其删除数据恢复的研究有着更美好的前景。 参考文献1 C.Klaver. Windows Mobile advanced forensics J. DIGITAL INVESTIGA