背景：

自从做了手机数据恢复与取证产品研发，身边的朋友、客户经常会找我咨询手机数据恢复的相关问题，我会毫无保留的进行交流，但也不敢夸下海口什么都承诺。上周，一个合作非常紧密公司的高管打电话给我，一个索尼手机不小心按了出厂设置，需要恢复里面的联系人电话本。出厂设置就意味着把手机重新做了系统，跟电脑重装系统类似，数据恢复的难度可想而知。

技术分析:

索尼手机Xperia C3 S55T手机系统版本呢是安卓4.4.2，根据经验，一般4.2版本以上的系统手机在恢复出厂后有可能会清零，几乎恢复不出数据来。因为是恢复出厂设置，手机中原有的所有用户数据都会被删除且会重新生成空白的数据库，直接提取数据库肯定不行。我们需要把手机内存全盘镜像出来。

取得ROOT权限后，用达思手机数据恢复专业版顺利做出手机的镜像。接下来我们分析一下镜像。开始分析其存储空间，只要删除的文件没有清0，都是有希望恢复的。

图一 我们找到分区25 ，这里是用户分区

安卓手机下联系人到底是什么鬼？

图二：安卓手机联系人数据底层信息

从联系人的数据库我们可以看到，这个数据库修改了82次，那么用户手机的联系人可能还剩下82个。

图三、数据库底层信息有三个联系人信息

    图三验证了我们的判断，联系人数据库已经删除并且重新建立了。要从数据库找联系人是不可能了，通过数据库恢复的路已经不通了。我们从数据分区入手进行分析，看看有没有柳暗花明呢？我们祈祷不要被清零吧。

图四、查看分区25的空闲空间 居然没有清零！

事实证明，这部索尼手机XperiaC3 S55T恢复出厂设置以后，并没有执行清0操作，这可是不幸中的万幸。

由于手机被执行了恢复出厂设置了，因此手机中原有的数据库已经没有指针指向，数据以无序的方式进行存储，还会产生大量碎片。虽然我们获取了手机镜像，虽然空闲空间没有清0，但是要把零碎的数据组合起来还是一个很大的工程。

对手机镜像分析的难点是联系人数据库contacts2.db的文件头在哪里？存放联系人数据的data表在哪里？data表中的联系人数据如何匹配？如果数据库存储不连续要怎么处理？其它位置有没有联系人的残留数据？

下面我们来解决这些问题。手机在保存联系人时会有姓名和电话。通过在镜像中搜索特定的姓名和电话，就能找到相关的data表碎片，如图五所示。

图五：在空闲空间中搜索特定的联系人信息

确定以后把符合联系人的空间全部提取，再做相关的整理。

图六：在空闲页中找到的联系人信息位置

接下来是整理联系人数据，我们把电话号码和姓名对应起来。其实无论数据库是否连续，data表是否连续，或者其它位置是否有联系人数据，都通过这种准确的搜索可以把以上问题解决掉。事实证明，这种数据搜索和整理技术，可以很精确的定位碎片中的指定信息。通过强大的整理功能，把得到的数据分类汇总。

最后，这部索尼手机成功恢复了超过90%的数据。

  关于达思科技

    达思科技，国家级高新技术企业，天津市国家保密局涉密载体数据恢复唯一协作单位，数据恢复行业著名品牌，在国内乃至全亚洲数据恢复技术领先！

    达思科技中国数据恢复与取证真专家！热线：4007000017

    更多数据恢复与取证前沿技术请关注微信公众账号：woocs

微信号：woocs

长按识别二维码关注

专注数据恢复与取证技术、互联网

电话咨询：400-700-0017

投稿：woocs@qq.com