由于GPS设备能够提供定位、导航和路线规划等多种实用功能,它已经成为人们出行生活中必不可少的电子设备。与此同时,这也更突显出GPS设备所携带的数据的重要性。对于取证工作人员而言,如何从GPS设备上恢复出历史轨迹数据已经成为数字取证领域中的一个热点问题。因为传统的数据恢复方法是根据文件系统元信息来恢复被删除文件的,所以在系统元信息受损而无法使用的情况下,传统的数据恢复方法就会失效。为了解决这个问题,本文采用文件雕复的思想,对符合NMEA 0183协议规范的日志展开了深入的研究,并根据日志数据的结构和特征提出一种新的恢复方法,可以在不依赖系统元信息的前提下恢复出GPS设备中被删除的轨迹信息。主要工作如下:首先,对符合NMEA 0183协议的日志文件进行了分析和研究。详细地解析了NMEA日志的文件结构、语句类型、语句结构以及字段含义,为轨迹数据在磁盘上的恢复工作做好技术上的铺垫。其次,提出了一种基于NMEA 0183协议的轨迹恢复方法。首先,利用轨迹数据的特征在GPS镜像中定位到所有属于NMEA日志的数据块;接着,再根据NMEA日志的文件结构和轨迹数据在时间和空间上的局部连续性设计了一个判别器和重组算法,对所有定位到的日志数据块进行重排序和合并操作,生成新的日志文件;最后再按照相应的协议格式对恢复得到的日志文件进行解析,用地图软件将重构出的轨迹进行可视化显示。实验结果表明,在系统元信息可用/不可用,日志文件高度分片,日志文件被部分覆写,不同簇大小的文件系统等多种应用场景中,提出的恢复方法均可以成功恢复出被删除的轨迹信息,且准确率和召回率能够达到99%以上。然后,考虑到反取证技术对正常取证工作的干扰和影响,通过设计并实现一系列的模拟实验来探究在反取证条件下轨迹恢复的可行性和可靠性问题。最后,实现了一个GPSDroid系统。系统集成了数据预处理模块、数据拼装模块、日志分析模块和反取证检测模块。从实践的角度证明本文方法的可行性。综上所述,基于NMEA 0183的GPS导航设备轨迹恢复技术利用日志数据的结构特征可以很好地解决恢复过程中依赖元信息的问题。除此之外,由于考虑到反取证技术对GPS设备的攻击,本文提出的方法相较于传统恢复方法表现更好。