公开(公告)号：CN111984467B

公开(公告)日：2022-08-02

申请号：CN202010761235.8

申请日：2020-07-31

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 邵炳阳 ,  吴坚 ,  沈长达 ,  黄志炜 ,  吴厚阔 ,  蔡勇恩

IPC: G06F11/14 ,  G06F16/13 ,  G06F16/14

Abstract: 本发明提供了一种基于OCFS2的数据恢复方法、装置、系统及存储介质，所述方法包括：搜索磁盘中的残留节点，得到残留节点集合和超级块集合；基于预设属性对所述残留节点集合中的所有元素进行分组，得到节点集合分组；判断每个所述节点集合分组与所述超级块集合是否匹配；如果确定所述节点集合分组与所述超级块集合匹配，则基于与所述节点集合分组相匹配的超级块进行数据恢复。根据本发明的方法、装置、系统及存储介质，通过扫描磁盘上所有被删除的OCFS2文件系统的数据信息，能够准确且高效地重组并恢复被删除的数据。

公开(公告)号：CN112527745B

公开(公告)日：2022-07-12

申请号：CN202011505990.6

申请日：2020-12-18

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 钟臻 ,  沈长达 ,  黄志炜

IPC: G06F16/16 ,  G06F16/172 ,  G06F3/06

Abstract: 本发明涉及嵌入式文件系统多分区解析方法、终端设备及存储介质，该方法中基于嵌入式文件系统垃圾回收机制及节点特性，以擦除块为单位，结合其文件系统元数据节点参数等校验，实现嵌入式文件系统连续擦除块数据(区块)提取，以连续擦除块之间的目录及数据页节点参数进行匹配校验，实现各分区嵌入式文件系统数据的合并从而达到文件系统分区数据提取与解析的目的。本发明能最大程度上实现各分区数据的提取，为文件系统解析提供基础。

公开(公告)号：CN112379835B

公开(公告)日：2022-07-01

申请号：CN202011261060.0

申请日：2020-11-12

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 钟臻 ,  沈长达 ,  黄志炜

IPC: G06F3/06 ,  G06F16/16 ,  G06F16/172

Abstract: 本发明涉及一种OOB区数据提取方法、终端设备及存储介质，该方法中包括：根据擦除块大小从镜像数据中查找未使用的擦除块区域；根据未使用擦除块区域，并结合文件系统特征确定每个文件系统分区的范围；针对每个文件系统分区，根据文件签名特征查找文件系统分区中包含的所有文件数据；根据文件数据的类型对应的数据特征识别文件数据中间的异常数据块；当异常数据块的长度和位置一致时，判定异常数据块所在的区域为OOB区，提取所有OOB区中的数据。本发明结合FLASH存储芯片的硬件特性及文件系统中各文件的数据特征实现OOB区的识别与检测，能够为进一步的无序镜像重组分析提供基础。

公开(公告)号：CN111782589B

公开(公告)日：2022-06-10

申请号：CN202010546474.1

申请日：2020-06-15

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 李向林 ,  范玮 ,  李军 ,  黄志炜 ,  严小飞

IPC: G06F16/13 ,  G06F16/18 ,  G06F16/11

Abstract: 本发明涉及一种用于操作历史重现的数据模型的构建方法，其包括以下步骤：基于目标计算机的磁盘文件结构，获取目标计算机中经历变更或新增的数据信息，然后获取所述数据信息中的每个数据项所对应的数据节点；基于业务类型对所述每个数据项进行归类，并且基于业务类型的分类方式建立所述每个数据项的数据节点的索引值以形成索引映射表，从而构建出初始数据模型；以及基于所述初始的数据模型，根据不同业务段对相应数据项进行整合处理以建立快速索引数据模型，所述快速索引数据模型至少包括针对业务段的一级索引映射表以及针对数据节点的二级索引映射表。

公开(公告)号：CN114446330A

公开(公告)日：2022-05-06

申请号：CN202111651676.3

申请日：2021-12-30

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 梁德荣 ,  黄志炜 ,  沈长达 ,  张洪彬

IPC: G11B20/18 ,  G11B20/10 ,  G06F16/17

Abstract: 本发明公开了一种修复MP4文件的方法、装置以及存储介质，所述方法包括：获取参照文件；获取与待修复MP4文件对应的文件系统中的所有未分配簇作为未分配簇集合；根据参照文件的视频编码格式的结构特征扫描未分配簇集合，得到MP4格式的视频帧列表，视频帧列表包含一个或多个视频帧；遍历视频帧列表，判断视频帧列表中的不同视频帧是否连续，将连续的视频帧归为同一个目标视频，不连续的视频帧归为不同的目标视频，得到目标视频集合，目标视频集合包含一个或多个目标视频，目标视频包含一个或多个占用簇；使用参照文件分别修复目标视频集合中的每一个目标视频的所有占用簇，得到一个或多个修复后的MP4文件。

公开(公告)号：CN114443355A

公开(公告)日：2022-05-06

申请号：CN202111577841.5

申请日：2021-12-22

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 夏鹏飞 ,  黄志炜 ,  沈长达 ,  梁德荣 ,  邵炳阳

IPC: G06F11/14 ,  G06F16/21

Abstract: 本发明涉及一种达梦数据库删除记录恢复方法、终端设备及存储介质，该方法中包括：针对每个页数据，提取其头部控制信息，根据头部控制信息中的页类型判断该页数据是否为数据页；设置偏移地址Offset＝页大小‑页尾部固定长度‑2*页中记录数‑2；S4：在页数据的偏移地址处读取行偏移数组，从行偏移数组中得到每条记录在页数据中的偏移位置；提取页数据对应的表中字段数，并根据字段数计算记录头部长度；针对每条记录，从其在页数据中的偏移位置处的2个字节的值是否为删除记录标志，从每条记录在页数据中的偏移位置处向后偏移记录头部长度后进行解析。本发明无需运行数据库服务，不依赖日志文件及事务是否开启即能恢复删除记录。

公开(公告)号：CN114443055A

公开(公告)日：2022-05-06

申请号：CN202111609503.5

申请日：2021-12-27

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 黄庆发 ,  沈长达 ,  黄志炜 ,  施剑朕

IPC: G06F8/52 ,  G06F8/53

Abstract: 本发明涉及一种二进制程序分析方法、终端设备及存储介质，该方法中包括：S1：获取二进制程序的指令集架构特征；S2：通过dump内存与指令集架构特征进行特征匹配的方式，获取运行起始地址；S3：通过二进制程序中的连续出现的常量字符串来确定只读数据区起始地址和只读数据区大小；S4：根据堆栈初始化代码得到的堆的起始地址和只读数据区大小确定数据区起始地址；S5：根据二进制程序的运行起始地址、只读数据区起始地址和数据区起始地址，将二进制程序重新构造为可执行格式二进制程序文件；S6：通过反编译工具对重新构造的可执行格式二进制程序文件进行反编译分析。本发明可以使无可执行程序结构的二进制程序能够进行反编译分析。

公开(公告)号：CN114371762A

公开(公告)日：2022-04-19

申请号：CN202111532325.0

申请日：2021-12-15

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 刘志祥 ,  苏再添 ,  陈俊珊 ,  黄志炜

IPC: G06F1/12

Abstract: 本发明提供了一种打印定制标签的方法，包括：获得第一标签模板；导出与第一标签对应的第一指令文本；根据预先设定的打印字段与字段符号之间的对应关系，生成与第一指令文本对应的第二指令文本，并将第二指令文本保存为标签模板配置文件，其中第二指令文本是通过将第一指令文本中的打印字段的数据值替换成对应的字段符号来获得的；响应打印指令，读取标签模板配置文件及预先存储的与标签模板配置文件中的字段符号对应的数据值，并用数据值替换标签模板配置文件中对应的字段符号，获得第三指令文本；将第三指令文本传输给条码打印机进行打印。利用上述技术方案，缩短开发定制标签的周期，实现高效便捷的定制标签打印。

公开(公告)号：CN114296980A

公开(公告)日：2022-04-08

申请号：CN202111628650.7

申请日：2021-12-28

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 钟臻 ,  沈长达 ,  黄志炜 ,  孙善为 ,  傅婉莲

IPC: G06F11/07 ,  G06F16/14 ,  G06F16/16 ,  G06F16/17

Abstract: 本发明给出了一种基于受损squashfs文件系统识别检测与提取的方法和系统，包括根据squashfs文件系统结构中的压缩数据块的头部特征，扫描压缩数据块并对其进行解码再匹配出所述压缩数据块对应的压缩类型；根据所述压缩数据块的inode table数据块和directory table数据块的特征，在所述区域范围中将inode table数据块和directory table数据块进行分离并提取出来；根据压缩数据块的frament table数据块的特征，frament table数据块的frament索引结构进行索引验证，从而确定并提取出squashfs文件系统数据中的frament table数据块；根据提取出的inode table数据块、directory table数据块及frament table数据块对squashfs文件系统数据进行识别检测与修复。本发明能最大程度上实现对受损文件系统的修复与提取，为后续进一步的数据分析提供基础。

公开(公告)号：CN114218128A

公开(公告)日：2022-03-22

申请号：CN202111521652.6

申请日：2021-12-13

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 杜鑫辉 ,  苏再添 ,  陈俊珊 ,  黄志炜

IPC: G06F12/02 ,  G06F21/60 ,  G06F21/62 ,  G06F21/45

Abstract: 公开了一种基于内存镜像离线提取DPAPI密钥方法和系统，包括加载内存镜像，从内存镜像中获取系统版本信息，提取lsass.exe进程的minidump；在lsasrv.dll内存范围分别以对应系统版本Logon Session Sign表的标志位的不同偏移进行Search Sign Apply Offset操作获取Logon Session List和Logon Session Count；根据不同的系统版本在对应的动态链接库内存范围以Cached Master Key结构获取各个Logon Session对应的Cache Master Key；在lsasrv.dll内存范围分别以对应系统版本Decrypt Key Sign表的标志位的不同偏移进行Search Sign Apply Offset操作获取16字节的IV和Key3DES，对Key3DES进行Search Sign Apply Offset操作获取Key AES；根据Cache Master Key、Key3DES、Key AES和IV解密获得各个Logon Session对应的Master Key。本发明具有免密获取、适用性好、成功率高的特点。