《表1 3条通话记录数据分析结果》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《一种基于底层数据分析的SQLite数据库取证方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

针对这个真实案例，为了减小遍历搜索范围，提高分析效率，选择将该损坏的数据库文件作为数据源进行遍历搜索，未来数据源可以扩展为全芯片镜像数据来实现更大范围的遍历搜索，进而获取更多的删除恢复数据。如图5所示，通过本文提出的基于底层数据的安卓系统通话记录数据提取方法，搜索并定位的3条通话记录，其中蓝色部分为通话记录的电话号码部分，由于是真实案件数据，隐去电话号码最后四位；紧跟号码的黄色字段为通话时间数据，时间数据后面的一位字节为通话时长，第一条通话时长字节为空，表示0通话时长，即未接通；紫色部分为通话类型，这三条数据均为02，表示为呼出电话。紫色数据后面是代表国别的字段CN，这里在CN后面还跟有UTF-8编码的“中国”字段，对应为E4 B8 AD E5 9B BD部分，在这灰色部分数据后面还有重复的一次电话号码字段作为数据库表中的冗余字段，至此3条通话记录数据分析完毕（表1）。