通过逻辑分析恢复删除数据的方法、终端设备及存储介质与流程

1.本发明涉及数据取证领域，具体地涉及一种通过逻辑分析恢复删除数据的方法、终端设备及存储介质。


背景技术：

2.随着手机厂商、应用厂商对数据安全性的重视，不断提高对数据保护的方式方法，不仅是对现有数据加强保护，也逐渐地对删除数据加强其不可恢复性。比如，手机应用大部分使用sqlite存储数据，而常见对数据彻底抹除的方法为删除后对相应的字节置零，使传统数据恢复手段无法生效。
3.数据保护手段提高，恢复技术也从未停止探索。手机数据恢复领域经过多年研究发展，从传统的sqlite文件恢复技术，到之后的镜像文件碎片、数据库备份文件、会话文件、索引数据库等恢复技术，每项技术的产生都能在某一阶段内提高有效数据的恢复能力。
4.目前市面上已知的各项恢复技术随着手机厂商、应用厂商的加固，均很难恢复到可用数据。例如，镜像文件碎片因高版本android系统被加密导致无法恢复出碎片文件，android端索引数据库被加密并且删除置零也导致无法恢复到有效数据。


技术实现要素：

5.本发明旨在提供一种通过逻辑分析恢复删除数据的方法，以解决上述问题。为此，本发明采用的具体技术方案如下：
6.根据本发明的一方面，提供了一种通过逻辑分析恢复删除数据的方法，其可包括以下步骤：
7.设定基准时间；
8.获取所有历史数据源；以及
9.根据基准时间在所有历史数据源中定位已经能明确非现存数据的信息，根据逻辑关系对其进行标记。
10.进一步地，历史数据源从后台和/或本机获得。
11.进一步地，对于即时通讯的好友删除数据恢复，当历史数据源中的对象在好友表中未解析到的情况下，即可判断双方曾经是好友关系，将该对象标记为已删除好友。
12.进一步地，历史数据源包括好友聊天记录、会话表数据、好友验证消息和收藏数据。
13.进一步地，对于即时通讯的群成员删除数据恢复，当历史数据源中的对象在群成员表中未解析到的情况下，即可判断该对象曾存在于群组中，将该对象标记为已删除群成员。
14.进一步地，历史数据源包括群组聊天记录、会话表数据、申请入群通知、退群通知和收藏数据。
15.根据本发明的另一方面，还提供了一种终端设备，包括存储器、处理器以及存储在
所述存储器中并可在所述处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实现如上所述方法的步骤。
16.根据本发明的又一方面，还一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其中，所述计算机程序被处理器执行时实现如上所述方法的步骤。
17.本发明采用上述技术方案，具有的有益效果是：本发明不受系统、数据保护手段限制，可以一定程度上解决问题，恢复出一些有效数据。
附图说明
18.为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。
19.图1是本发明的方法的流程图；
20.图2是即时通讯应用中的好友和群组成员的数据恢复的流程图。
具体实施方式
21.现结合附图和具体实施方式对本发明进一步说明。
22.如图1所示，一种通过逻辑分析恢复删除数据的方法，其可包括以下步骤：
23.s1.设定基准时间，基准时间可以是当前时间，也可以是某个确定的时间基准点；
24.s2.获取所有历史数据源，历史数据源可以从本机和/或后台获得；以及
25.s3.根据基准时间在所有历史数据源中定位已经能明确非现存数据的信息，根据逻辑关系对其进行标记，从而达到恢复已删除数据的目的。
26.通过本方法能恢复曾经存在通联关系的个体，恢复出现在同个圈子的关系人，或者还原某事件的发展先后顺序等。
27.下面以即时通讯应用(例如，qq、微信等)中的好友、群组成员的数据恢复为例进行阐述。一般情况下，机主删除了某个好友，或者某个群有成员退出群聊，应用的原始数据里都会从数据库的好友表、群成员表删除该条记录，部分安全性做得较好的应用还会对删除的数据相应字节置零，使得数据恢复技术无法生效。虽然常规的恢复途径无法恢复到所需的数据，但其实还有其它方式可以使用，即本发明提出的逻辑分析方案，如图2所示。
28.1、恢复本机已删除好友
29.(1)好友聊天记录：获取到的好友聊天记录有机主与聊天对象的信息，当聊天对象在好友表中未解析到的情况下，即可判断双方曾经是好友关系，此时可以将聊天对象标记为已删除好友。
30.(2)会话表数据：获取到的会话表里有会话者信息，当会话者在好友表中未解析到的情况下，即可判断双方曾经是好友关系，此时可以将会话者标记为已删除好友。
31.(3)好友验证消息：获取到的好友验证消息，若验证状态是已通过，但该对象在好友表中未解析到，即可判断双方曾经是好友关系，此时可以将该对象标记为已删除好友。
32.(4)收藏数据：获取到的收藏数据可能包含来源信息，标识该条数据从哪个会话里点击收藏。若该会话者在好友表中未解析到，即可判断双方曾经是好友关系，此时可以将该
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是终端设备的控制中心，利用各种接口和线路连接整个终端设备的各个部分。
47.所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
48.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤s1-s3。
49.终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法步骤s1-s3中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
50.尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。