(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211295233.X (22)申请日 2022.10.21 (71)申请人 厦门市美亚柏科信息股份有限公司 地址 361000 福建省厦门市思明区软件园 二期观日路12号102-402单 元 (72)发明人 钟臻　沈长达　黄志炜　 (74)专利代理 机构 厦门福贝知识产权代理事务 所(普通合伙) 35235 专利代理师 郭涵炜 (51)Int.Cl. G06F 9/50(2006.01) G06F 9/4401(2018.01) (54)发明名称 一种基于UBI镜像格式残留区数据深度提取 方法和装置 (57)摘要 本申请提出一种基于UBI镜像格式残留区域 数据深度提取方法， 该方法通过UBI镜像重组获 取正常UBIFS文件系统层面镜像数据从而分离 出 剩余残留的UBI镜像 数据， 结合UBI擦除块的结构 特点及UBIFS 文件系统节点特性深度提取出系统 运行过程中的残留数据， 为进一步的数据分析提 供基础， 对于物联取证领域具有重要意 义。 权利要求书2页 说明书8页 附图7页 CN 115525435 A 2022.12.27 CN 115525435 A 1.一种基于UBI镜像格 式残留区数据深度提取方法， 其特征在于： 所述方法包括以下步 骤： S1： 从FLASH存 储介质中提取 出UBI镜像文件； S2： 对UBI镜像文件按照FLASH的块大小划分为多个物理擦除块， 形成集 合PE； S3： 从集合PE中提取 出64字节的E C头和VID头数据， 形成集 合EV； S4： 从集合EV中提取 出最新的逻辑擦除块， 形成集 合LE； S5： 对集合LE中的逻辑擦除块按照逻辑 号的大小 进行排序完成镜像重组， 形成集 合RU； S6： 对集合RU进行文件系统解析提取 出相关目录节点信息， 形成集 合NF； S7： 结合集合PE和集合LE分离出残余的未映射到集合RU的剩余物理擦除块， 形成集合 NPE； S8： 对集合NPE按照一个物理擦除块的大小进行切割， 然后根据UBIFS的节点特征参数 提取出相关数据节点信息， 形成集 合UN； S9： 利用集合NF中的相 关目录节点信息构建UN中相 关数据节点信息的文件目录结构， 并根据应用解析涉及的数据特征在构建的文件目录结构中提取出需要进行解析的碎片数 据。 2.根据权利要求1所述的一种基于UBI镜像格式残留区数据深度提取方法， 其特征在 于： 所述EC头和VID头数据包括逻辑擦除块被擦除过的次数ec、 VID头的偏移vid_hdr_ offset以及用户数据LEB的偏移位置data_of fset。 3.根据权利要求1所述的一种基于UBI镜像格式残留区数据深度提取方法， 其特征在 于： 所述VID头的主要字段包括逻辑擦除块号lnum、 逻辑擦除块包含字节数data_ size、 存储 在该逻辑擦除块上 数据的CRC校验data_crc以及该逻辑擦除块的全局唯一系列号sqnum。 4.根据权利要求1所述的一种基于UBI镜像格式残留区数据深度提取方法， 其特征在 于： 所述S4具体包括： 根据集合EV中提取的参数按照特定的规则提取出最新的逻辑擦除块， 形成集合LE， 所述特定的规则具体为： 如果存在多个相同的lnum号， 那么对于lnum号相同情况下LEB逻辑擦除块的选择条件 为： 如果是s qnum大的逻辑擦除块且data_crc正确,那么选择sqnum大的逻辑擦除块， 否则寻 找sqnum小的那个逻辑擦除块。 5.根据权利要求1所述的一种基于UBI镜像格式残留区数据深度提取方法， 其特征在 于： 所述S6中的相关目录节点信息包括文件目录名和父子ID节点信息 。 6.根据权利要求1所述的一种基于UBI镜像格式残留区数据深度提取方法， 其特征在 于： 所述S 8中的UBIFS的节点特 征参数包括UBIFS的节点Ma gic值以及节点类型。 7.根据权利要求1所述的一种基于UBI镜像格式残留区数据深度提取方法， 其特征在 于： 所述S 8中的相关数据节点信息包括文件目录节点以及文件数据节点。 8.根据权利要求1所述的一种基于UBI镜像格式残留区数据深度提取方法， 其特征在 于： 所述S9具体包括： S91： 利用集合NF中的文件目录名和父子节点ID节点信息构建集合UN中相关数据节点 信息的文件目录结构， 形成集 合CF； S92： 对于集合CF在对集合NF文件目录数据应用解析基础上， 根据应用解析涉及的数据 特征在构建的文件目录结构中进一步提取出需要的碎片数据， 所述解析涉及的数据特征包权　利　要　求　书 1/2 页 2 CN 115525435 A 2括文件目录名、 关键 字匹配以及特定数据结构特 征。 9.一种基于UBI镜像 格式残留区数据深度提取装置， 其特 征在于： 所述装置包括： 逻辑擦除块提取模块， 配置用于从FLASH存储介质中提取出UBI镜像文件， 对UBI镜像文 件按照FLASH的块大小划分为多个物理擦除块， 形成集合PE， 从集合PE中提取出64字节的EC 头和VID头数据， 形成集 合EV， 以及从集 合EV中提取 出最新的逻辑擦除块， 形成集 合LE； 逻辑擦除块目录信 息提取模块， 配置用于对集合LE 中的逻辑擦除块按照逻辑号的大小 进行排序完成镜像重组， 形成集合RU， 对集合RU进行文件系统解析提取出相关目录节点信 息， 形成集 合NF； 残余逻辑块节点信息提取模块， 配置用于结合集合PE和集合LE分离出残余的未映射到 集合RU的剩余物理擦除块， 形成集合NP E， 对集合NP E按照一个物理擦除块的大小进 行切割， 然后根据UBIFS的节点特 征参数提取 出相关数据节点信息， 形成集 合UN； 碎片数据解析模块， 配置用于利用集合NF中的相关目录节点信息构建UN中相关数据节 点信息的文件目录结构， 并根据应用解析涉及的数据特征在构建的文件目录结构中提取出 需要进行解析的碎片数据。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理 器执行时实现如权利要求1 ‑8中任一所述的方法。权　利　要　求　书 2/2 页 3 CN 115525435 A 3