说到手机数据恢复,对于小编来说,这个名词早在2016年底就已经被淡化了。早在2012-2015年,安卓手机的数据恢复,用行业术语来说,就像捡拾一样。钱。为什么这么说?大致可以分为以下几点:
1、机身内部容量大,手机用户存储大量有价值的数据。
早期的系统基本上是 2.x和4.x。由于系统正处于快速发展时期,手机硬件配置逐渐加强,相机分辨率迅速提高,因此用手机拍摄的照片也越来越受欢迎。不过,手机的内部存储容量已经能够极大地满足人们日常的手机存储需求。手机内部存储了大量的个人数据,无法方便地组织和转移(要知道,在系统发展初期,在系统出现之前,手机的内部存储容量基本小于512M,无法存储大量数据。)
2. 应用程序使用频繁,手机中存储的数据量较大。
随着手机性能的提升,QQ、微信等社交应用进一步增强了扩展功能。移动应用程序的易用性和便利性远远超过其他通信方式,甚至超越PC软件通信方式。所以,手机可以秒杀手表;电视;电话;短信;相机;摄像机; MP3; MP4;闹钟;记事本;游戏机;甚至家用电脑。应用程序产生的大量数据存储在手机内部。庞大的用户群将创造需求。
3、产业链的形成,带动了更多团队和个人研究。
系统产业链的快速形成以及灰黑产品和高端玩家的介入,使得手机获取ROOT权限变得异常便捷。 系统有很多具有一键ROOT功能的软件,比如ROOT大师、刷机精灵等。被大家广泛使用。要知道,一个能root的,可以轻松获取整个身体数据图像,包括删除痕迹在内的所有用户数据也都存储在里面。这是数据恢复的有利条件之一。
4、用户数据隐私未被重视
当时手机的快速发展已经远远超出了人们的认知。当时人们还在追逐系统的可操作性、运行速度、应用兼容性、大容量存储等。用户数据安全很少受到重视。用户区数据没有被广泛加密(不存在通过chip off无法解决的问题,因为数据是以明文形式存储的,没有加密,你知道现在提取加密的用户区数据有多么困难)。
5、系统没有引入清除机制
引入的emmc存储当时仅用作存储。由于其容量大、价格低廉、内置控制器、有利于手机电路设计而得到广泛应用。 系统也源于它,但没有针对移动存储的更新。详尽的优化。 (我们知道emmc存储属于闪存存储,它使用电子来表达数据,当数据写入物理地址时,电子的位置表示二进制0和1。如果当前电子位是;那么当你想要写入数据时,只需要将每一位改变一次,目的就达到了,但是,如果已有的数据,如果要写入,则必须先进行置零操作,即先改变它。 to;然后将其更改为to,这个过程是由闪存存储原理决定的,因此系统更改emmc中存储的数据时,必须分两步进行:第一步设置为。 0,然后第二步写入,如果有大量数据读写时,会降低emmc存储的读写效率,所以现在新机配合 5.0.0以后的系统版本。闲暇时手机不进行大规模读写时,已删除的区域就会被删除。填充0是为了后续的写操作之前不需要置0,这样系统的读写速度就会加快。三星主导的emmc标准协议中增加了指令,不再需要系统进行清算。要进行干预,系统只需要给出emmc存储指令并指定要清除哪些地址块。 emmc内存将立即执行,不会对系统速度产生任何影响。我们做过一个实验:三星emmc 32G充满数据。放入景天UP编程器中即可清除。点击清除功能,立即断电。整个过程不到1秒。然后通过只读设备镜像32G emmc。 32G镜像底层全为0,如图所示,由此可见硬件层面的清除速度是多么恐怖,远远超过了其IO接口的速度。这就是为什么在新机器上恢复照片和视频如此困难。删除的文件不再存在。在启用该机制之前,删除的数据不会被清除,即仍会存储在机身内部。小编深深怀念小米2S时代,恢复出厂的机器数据是可以找回的。)
讲了半天,结论是:以前还能恢复,现在恢复不了了!我们回到主题吧。前面说过,这些条件都是被手机厂商一一限制的。如果不满足数据恢复的前提,那么就只能尝试曲线救国。
我们以照片为例(注意是照片,即用手机摄像头拍摄并存储的照片)。通常删除的手机照片在新的手机上完全乱七八糟,并且无法恢复。然而,有一种情况是,拍出的照片往往会被相机拥有者自恋地欣赏。您是否注意到两点:1、打开照片时,会有一个图像从模糊到清晰的过程,2、在相册中,还可以看到未打开的图片的图像内容。你,但它们会很小。
这里我简单描述一下图像显示功能的一些算法(小编解释主要是为了便于理解,不涉及底层复杂原理,因为小编也是二手专家):手机摄像头拍摄的照片具有更高的分辨率。从加载照片到应用程序、解析、显示会有一个过程。如果等到完全解析并显示在屏幕上,肯定会有一小段时间造成滞后(因为你已经点击屏幕打开了,但照片仍在解析中),尤其是当CPU负载比较大或者手机性能比较低),为了避免上述情况,图片第一次正常打开后,会按照一定的算法生成一张分辨率比较低的缓存图片,然后它将再次打开。当拍摄这张图片时,应用程序会先加载这张分辨率相对较低的图片填满屏幕,然后等待原始图片正常解析后快速替换已经显示的图片,给人一种多余而不是滞后的感觉(微信接受)这个算法也用于图片。没有手动下载查看的图片一定是原图的低分辨率缓存。)而且,最重要的是,清除原图时,照片缓存并没有被清除。这就是我们今天讨论的核心问题。
我们在相册中看到的方形图片也是缓存显示的:
像上图这样的小缓存图像的实际意义并不是很大,因为分辨率太低。只有分辨率比较高的缓存才会有一定的意义,所以我们要在文件系统中寻找缓存文件:
我们提取.0。这个文件是手机上照片的缓存。只要相册中查看过的照片都会在这个文件中留下痕迹,对于没有被某些垃圾清除应用清理过的安卓手机来说,这个文件会不断变化。大,可达50M。如果超过50M,就会生成一个新的缓存文件:.1,并且随着缓存的越来越多,文件的数量也会增加。检查一下:
我们从上图的显示结果中看到JFIF,一个典型的图片类型标识符,然后根据图片的头文件标记FFD8和结束标记FFD9开始向下查找:
提取FFD8开头FFD9结尾的段落并保存为文件,继续搜索下一组FFD8-FFD9;保存的文件可以使用图片查看器打开和查看。当然,这只是缓存数据的一部分,还有很多位置存储着各种场景下产生的“缓存垃圾”,但正是这些缓存为我们的司法工作提供了一条又一条关键线索。
当然,如果你觉得一一提取太麻烦,你可以尝试使用Rx-进行一键提取,以提高你的工作效率: