一种解析黑莓手机备份文件的方法.pdf

本发明公开了一种解析黑莓手机备份文件的方法，其特征在于包括以下步骤,S1：解压黑莓手机的备份文件，以生成清单文件Manifest.xml和数据文件夹Databases，所述数据文件夹Databases包含黑莓手机所有应用程序的数据文件；S2：打开所述清单文件Manifest.xml以获取所述数据文件夹Databases中所需应用程序的管理信息，所述管理信息包括每一应用程序的属主标识uid、记录数及应用程序名；S3：根据所述应用程序名获取对应的所述属主标识uid，并根据所述属主标识uid，在所述数据文件夹Databases中查找并打开对应的所述数据文件；S4：解析所述数据文件，包括短信文件、联系人文件及通话历史文件，本发明解决了现有技术不能解析黑莓手机备份文件的问题，为黑莓手机的数据恢复和手机取证提供了有效的方法。

1.一种解析黑莓手机备份文件的方法，其特征在于包括以下步骤：
S1：解压黑莓手机的备份文件，以生成清单文件Manifest.xml和数据文件夹
Databases，所述数据文件夹Databases包含黑莓手机所有应用程序的数据文件；
S2：打开所述清单文件Manifest.xml以获取所述数据文件夹Databases中所需应用程
序的管理信息，所述管理信息包括每一应用程序的属主标识uid、记录数及应用程序名；
S3：根据所述应用程序名获取对应的所述属主标识uid，并根据所述属主标识uid，在所
述数据文件夹Databases中查找并打开对应的所述数据文件；
S4：解析所述数据文件，包括短信文件、联系人文件及通话历史文件。
2.根据权利要求1所述的一种解析黑莓手机备份文件的方法，其特征在于，所述备份文
件为后缀bbb的文件，所述数据文件格式为十六进制的dat文件。
3.根据权利要求2所述的一种解析黑莓手机备份文件的方法，其特征在于，所述数据文
件具有相同的数据结构。
4.根据权利要求3所述的一种解析黑莓手机备份文件的方法，其特征在于，所述步骤S4
中，解析所述数据文件包括以下步骤：
S401：打开所述数据文件；
S402：解析所述数据文件的文件头、内容标识及应用程序名：所述数据文件的前40字节
固定为文件头，所述文件头为496E746572406374697665205061676572204261636B75702F52
6573746F72652046696C650A0200，第41、42字节的内容为内容标记，第43、44字节的内容为
所述应用程序名的长度，从第45字节起的内容为所述应用程序名，长度为所述应用程序名
的长度；
S403：解析所述数据文件中的字段：所述字段由标识符、字段长度及字段内容组成，所
述应用程序名向后偏移2字节的内容为所述标识符，所述标识符后的4个字节为所述字段长
度，所述字段长度后的内容为所述字段内容，所述字段内容的长度为所述字段长度，所述数
据文件包含一个或多个所述字段，所述字段具有相同的数据结构；
S404：解析所述字段中的记录：每一所述字段内容的前7个字节为填充字节，所述填充
字节后由一条或多条具有相同数据结构的记录组成，所述记录由记录长度、记录标记和记
录内容组成，所述记录长度占2个字节，所述记录标记占1个字节，所述记录内容的长度为所
述记录长度；所述短信文件所对应的所述数据文件中，所述记录的所述记录标记和所述记
录内容见表1：
表1：短信文件的记录标记和记录内容

一种解析黑莓手机备份文件的方法

技术领域

本发明属于数据恢复与电子取证领域，涉及手机数据恢复与手机取证，尤其涉及
一种解析黑莓手机备份文件的方法。

背景技术

随着移动通信技术不断地发展,手机的使用范围越来越广。然而,利用手机进行诈
骗、诽谤和伪造等犯罪活动也屡见不鲜，手机数据恢复与手机取证是打击这类犯罪的一个
有效手段。

手机取证就是从手机SIM卡、手机内、外置存储卡以及移动网络运营商数据库中收
集、保全和分析相关的电子证据,并最终从中获得具有法律效力、能被法庭所接受的证据的
过程。近年来，利用手机进行诈骗、诽谤和伪造等犯罪活动日益猖獗，研究手机数据恢复与
手机取证技术变得非常迫切。

黑莓(Black berry)手机不同于其他使用Symbian、Windows Mobile、ios等操作系
统的手机，其加密性能更强，更安全。另外，黑莓手机的移动邮件设备基于双向寻呼技术，提
供企业移动办公的一体化解决方案，最大方便之处是提供了邮件的推送功能：即由邮件服
务器主动将收到的邮件推送到用户的手机上，而不需要用户频繁地连接网络查看是否有新
邮件，但是，到目前为止，现有技术中还没有一种有效地解析黑莓手机备份文件的方法。

发明内容

本发明针对现有技术的不足和上述问题，提出一种解析黑莓手机备份文件的方
法，通过解析数据文件夹Databases中应用程序的数据文件，能够解析黑莓手机中所有应用
程序的数据，包括短信文件、联系人文件及通话历史文件，解决了现有技术不能有效地解析
黑莓手机备份文件的问题，所述方法包括以下步骤：

S1：解压黑莓手机的备份文件，以生成清单文件Manifest.xml和数据文件夹
Databases，所述数据文件夹Databases包含黑莓手机所有应用程序的数据文件；

S2：打开所述清单文件Manifest.xml以获取所述数据文件夹Databases中所需应
用程序的管理信息，所述管理信息包括每一应用程序的属主标识uid、记录数及应用程序
名；

S3：根据所述应用程序名获取对应的所述属主标识uid，并根据所述属主标识uid，
在所述数据文件夹Databases中查找并打开对应的所述数据文件；

S4：解析所述数据文件，包括短信文件、联系人文件及通话历史文件。

作为优选，所述备份文件为后缀bbb的文件，所述数据文件格式为十六进制的dat
文件。

作为优选，所述数据文件具有相同的数据结构。

作为优选，所述步骤S4包括以下步骤：

S4011：打开所述数据文件；

S4012：解析所述数据文件的文件头、内容标识及应用程序名：所述数据文件的前
40字节固定为文件头，所述文件头为
496E746572406374697665205061676572204261636B75702F526573746F72652046696C650A0
200，第41、42字节的内容为内容标记，第43、44字节的内容为所述应用程序名的长度，从第
45字节起的内容为所述应用程序名，长度为所述应用程序名的长度；

S4013：解析所述数据文件中的字段：所述字段由标识符、字段长度及字段内容组
成，所述应用程序名向后偏移2字节的内容为所述标识符，所述标识符后的4个字节为所述
字段长度，所述字段长度后的内容为所述字段内容，所述字段内容的长度为所述字段长度，
所述数据文件包含一个或多个所述字段，所述字段具有相同的数据结构；

S4014：解析所述字段中的记录：每一所述字段内容的前7个字节为填充字节，所述
填充字节后由一条或多条具有相同数据结构的记录组成，所述记录由记录长度、记录标记
和记录内容组成，所述记录长度占2个字节，所述记录标记占1个字节，所述记录内容的长度
为所述记录长度；所述短信文件所对应的所述数据文件中，所述记录的所述记录标记和所
述记录内容见表1：

表1：短信文件的记录标记和记录内容

所述联系人文件所对应的所述数据文件中，所述记录的所述记录标记和所述记录
内容见表2：

表2：联系人文件的记录标记和记录内容

所述通话历史文件所对应的所述数据文件中，所述记录的所述记录标记和所述记
录内容见表3。

表3：通话历史文件的记录标记和记录内容

与现有技术相比，本发明的有益效果是：解决了现有技术不能有效地解析黑莓手
机备份文件的问题，为黑莓手机的数据恢复和手机取证提供了一种有效的方法。

附图说明

图1为本发明的主流程图。

图2为本发明中清单文件Manifest.xml的数据结构图。

图3为本发明中解析数据文件的处理流程图。

图4为数据文件中文件头、内容标识及应用程序名的数据结构图。

图5为数据文件中字段的数据结构图。

图6为短信文件的记录的数据结构图。

图7为短信文件的短信内容的数据结构图。

具体实施方式

下面结合附图和实施例对本发明作进一步阐述。

如图1所示，一种解析黑莓手机备份文件的方法，包括以下步骤：

S1：黑莓手机的备份文件为后缀bbb的文件，将.bbb的后缀重命名为.zip的后缀，
解压该备份文件并生成清单文件Manifest.xml和数据文件夹Databases，该文件夹
Databases包含黑莓手机所有应用程序的数据文件，这些数据文件格式为十六进制的dat文
件；

S2：打开清单文件Manifest.xml以获取数据文件夹Databases中所需应用程序的
管理信息，如图2所示，管理信息包括每一应用程序的属主标识uid、记录数及应用程序名；

S3：根据应用程序名获取对应的属主标识uid，并根据该属主标识uid，在数据文件
夹Databases中查找并打开对应的数据文件，例如，根据应用程序名Phone History，在清单
文件Manifest.xml中查找到该应用程序名对应的属主标识uid为18，则在数据文件夹
Databases中查找并打开文件名为18.dat的数据文件；

S4：解析数据文件，包括短信文件、联系人文件及通话历史文件，以解析短信文件
的数据文件为例，步骤S4包括如图3所示的以下步骤，

S401：根据清单文件Manifest.xml，查找应用程序名“SMS Messages”并查找到该
应用程序名对应的属主标识uid为85，在数据文件夹Databases中查找并打开数据文件
85.dat；

S402：解析数据文件85.dat的文件头、内容标识及应用程序名：如图4所示，数据文
件85.dat的前40字节固定为文件头，文件头为
496E746572406374697665205061676572204261636B75702F526573746F72652046696C650A0
200，第41、42字节的内容为内容标记0x0100，第43、44字节的内容为应用程序名的长度
0x0D00，从第45字节起的内容为应用程序名,见图4右侧解释栏中的“SMS Messages”所示，
其长度为应用程序名的长度0x0D00，即13字节；

S403：解析数据文件85.dat中的字段：如图5所示，字段由标识符、字段长度及字段
内容组成，应用程序名向后偏移2字节的内容0x5500为标识符，标识符后的4个字节内容
0xA1000000为该字段长度，字段长度后的内容为字段内容，如图5所示的黑框范围即为字段
内容，字段内容的长度为字段长度0xA1000000，即161字节；通常地，数据文件包含一个或多
个字段，每一字段具有相同的数据结构；

S404：解析字段中的记录：如图6所示，每一字段内容的前7个字节为填充字节，该
实施例中的填充字节的内容为0x051705B6022C48，填充字节后由一条或多条具有相同数据
结构的记录组成，每一记录由记录长度、记录标记和记录内容组成；该记录长度占2个字节，
内容为0x4000；记录标记占1个字节，内容为0x01；记录内容的长度为记录长度0x4000，即64
字节；其中，记录标记0x01表示该短信的java格式的短信时间，记录标记0x01后的64字节的
内容为该短信时间，见图6中数据解释器所示，该短信时间为2014/07/18 14:32:29；

此外，如图6所示，记录标记0x0B表示该短信的收发标识，其前2字节内容0x0400表
示收发标识的长度为4字节，其后4字节的内容为收发标识0x01000100，表示该短信是发送
的短信；

其次，如图6所示，记录标记0x02表示电话号码，其前2字节内容0x1300表示该电话
号码的长度为19字节，其后19字节的内容为
0x000000002B38363135393038313432353433001000100，表示该电话号码为+
8615908142543；

再次，如图7所示，记录标记0x04表示短信内容，其前2字节内容0x0400表示该短信
内容的长度为4字节，其后4字节的内容为0x4F60597D，见图7中右侧解释栏所示，该短信的
内容是“你好”；

短信文件85.dat中，可以解析其记录的记录标记和记录内容见表1：

表1：短信文件的记录标记和记录内容

由于黑莓手机的数据文件具有相同的数据结构，因此，根据相同的方法可以解析
其他应用程序的数据文件，其中，联系人文件所对应的数据文件34.dat中，可以解析其记录
的记录标记和记录内容见表2：

表2：联系人文件的记录标记和记录内容

同理，通话历史文件所对应的数据文件18.dat中，可以解析其记录的记录标记和
记录内容见表3。

表3：通话历史文件的记录标记和记录内容

应当理解的是，本发明不限于上述的举例，对本领域普通技术人员来说，可以根据上
述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。