-
公开(公告)号:CN114372277A
公开(公告)日:2022-04-19
申请号:CN202111532514.8
申请日:2021-12-15
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F21/60
Abstract: 本发明涉及一种TrueCrypt解密密钥提取方法、终端设备及存储介质,该方法中,首先从内存镜像中提取所有TrueCrypt.exe进程信息,并组成进程信息集合K;之后针对K中的每个元素,依次对其CRYPTO_INFO结构中的K2字段、master_keydata字段和SectorSize字段的内容格式进行校验,剔除不符合要求的元素后,将K中剩余元素的master_keydata字段的内容作为TrueCrypt.exe进程的主密钥。本发明需依赖加密容器的加密方式,无需知道加密容器密码,即可对加密容器的加密数据的主密钥进行提取,同时也满足对证据源解密的需求。
-
公开(公告)号:CN114328418A
公开(公告)日:2022-04-12
申请号:CN202111444188.5
申请日:2021-11-30
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F16/172 , G06F16/17 , G06F16/13 , G06F21/60
Abstract: 本发明涉及一种物联网权限绕过取证方法、终端设备及存储介质,该方法中包括:S1:获取RootFs镜像;S2:分析并记录RootFs镜像的压缩方式和压缩参数;S3:对RootFs镜像中与系统权限相关的配置文件和/或用户交互程序文件对应的压缩数据块进行解压,并对解压后的数据块的内容进行修改;S4:将修改后的数据块通过记录的压缩方式和压缩参数重新压缩后,与RootFs镜像中未修改的压缩数据块重新组装为RootFs镜像,并将重新组装后的RootFs镜像刷写到芯片镜像中或内存中;S5:重启系统,进入系统的管理员模式进行取证数据下载。本发明可以绕过物联网设备的账号密码,进入其系统模式进行数据取证。
-
公开(公告)号:CN113934669A
公开(公告)日:2022-01-14
申请号:CN202111116920.6
申请日:2021-09-23
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F13/42
Abstract: 本发明给出了一种基于串口的GOIP设备取证方法与系统,包括在针对GOIP设备暴露的内外部串口进行深入分析并做大量测试的基础上,利用暴露的内外部串口,通过相应的指令获取存储芯片镜像数据或者系统文件数据,通过取证分析装置直接解析,进而对GOIP设备的内外部接口、引导程序等进行深入分析,基于GOIP设备的内外部串口的取证方法,通过系统串口命令获取GOIP设备存储芯片镜像数据或者系统文件数据,从而保证GOIP设备在不被损坏情况下提取数据且支持删除恢复,填补了GOIP设备取证技术方面的空白,对电子数据取证具有重大意义,为电子数据取证提供了有效的基础支撑。
-
公开(公告)号:CN113839773A
公开(公告)日:2021-12-24
申请号:CN202110940565.8
申请日:2021-08-17
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: H04L9/08
Abstract: 本发明涉及一种LUKS密钥离线提取方法、终端设备及存储介质,该方法中包括:S1:从LUKS加密卷的卷头中提取主密钥的哈希校验值hash_data和主密钥的长度key_length;S2:加载内存镜像,根据主密钥的长度key_length,从内存镜像中查找所有符合长度为主密钥的长度key_length的数据,并组成集合K;S3:遍历集合K中的每个元素,并计算各元素的信息熵,对集合K中的元素进行筛选,剔除集合K中信息熵大于信息熵阈值的元素;S4:针对筛选后的集合K,遍历其中的每个元素,并对每个元素通过PBKDF2算法进行密钥派生,将密钥派生结果与提取的哈希校验值hash_data一致时对应元素作为用于解密的主密钥。本发明能够扫描内存中所有有效的LUKS加密密钥,并实际用于数据解密,解决取证难题。
-
公开(公告)号:CN113377579A
公开(公告)日:2021-09-10
申请号:CN202110696921.6
申请日:2021-06-23
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F11/14
Abstract: 本发明给出了一种基于映射表的固态硬盘数据恢复方法和系统,包括利用固态硬盘上的Index参数获取映射表所在块的位置,读取固态硬盘的二级映射表所在块的数据,并从映射表所在块的OOB数据中获取当前块的申请顺序;对二级映射表块排序后由新到旧遍历二级映射表块,重建未被擦除的二级映射表完成数据恢复。该方法和系统能准确可靠地实现SSD删除数据的恢复,为SSD的数据恢复提供可能。
-
Patent Agency Ranking
公开(公告)号:CN111063376B
公开(公告)日:2021-05-14
申请号:CN201911284981.6
申请日:2019-12-13
Applicant: 厦门市美亚柏科信息股份有限公司
Abstract: 本发明公开了一种MP4修复中音视频同步的方法、终端设备和存储介质,涉及计算机数据恢复领域,该方法包括以下步骤:搜索损坏文件或者参照同源文件来获取相关编解码信息,并根据信息对损坏文件提取有效的音频数据和视频数据;根据音视频文件的相对偏移位置来关联音视频时间点,分别计算音视频数据块在各自轨道的位置,根据轨道位置差,判断是否有音频或视频轨道需要填补播放时长;通过修改最后一帧视频显示时间或者填充空音频数据,使音视频播放时长一致。本发明的方法,依赖于存储时的音视频位置相关性,能校正从数据中提取到的音视频轨道播放时间信息,提升了文件的恢复效果;该方法扩展了MP4文件的恢复方式,有重大创新性和实际意义。
-
公开(公告)号:CN108009049B
公开(公告)日:2020-12-01
申请号:CN201711212838.7
申请日:2017-11-28
Applicant: 厦门市美亚柏科信息股份有限公司
Abstract: 本发明提供一种MYISAM存储引擎删除记录离线恢复方法、存储介质,其特征在于,包括:解析结构文件,获取表的表数据结构;解析数据文件,依据每个数据块的头部信息的最低位标记获取所有删除块;依据所述表数据结构解析所述所有删除块。本发明基于MYISAM存储引擎的磁盘存储结构,分析数据存储原理。不仅能够实现更全面、更高效、更可靠精确地从存储数据中被删除记录;而且不用依赖数据库服务运行环境;进一步的,还能有效避免误恢复和漏恢复的情况;能保证正确地恢复成用户所见的初始数据库表形式。
-
公开(公告)号:CN108093299B
公开(公告)日:2020-08-04
申请号:CN201711404796.7
申请日:2017-12-22
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: H04N21/4402 , H04N21/81 , H04N21/854 , H04N21/439
Abstract: 本发明公开了一种MP4损坏文件的修复方法及存储介质,方法包括:获取参照视频;获取所述参照视频的序列参数集;根据所述序列参数集,对损坏文件中的条带头进行解码,得到条带类型和视频帧的帧号;若所述条带类型的值在预设的范围内且帧号连续,则判定所述条带头对应的视频帧为合法的视频帧;获取损坏文件中合法的视频帧,得到视频帧集合;获取损坏文件中两两视频帧之间的帧,得到音频帧集合;将所述视频帧集合中的视频帧和音频帧集合中的音频帧根据偏移进行排序,得到视音频帧集合;根据所述参照视频和所述视音频帧集合,得到修复文件。本发明可整体提高MP4损坏文件的修复效果和修复支持率。
-
公开(公告)号:CN110659160A
公开(公告)日:2020-01-07
申请号:CN201910845480.4
申请日:2019-09-06
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F11/14
Abstract: 本发明提供了一种RAID5数据恢复方法、装置、系统及存储介质,RAID5包括N块物理盘,方法包括:在一个物理盘中检索关键字,得到文件记录的起始位置和记录号;判断其他物理盘的对应位置是否存在关键字;如果存在则当文件记录数量大于或等于N-1时根据文件记录数量确定RAID5的条带大小,其中N为所述RAID5中物理盘的数量;横向获取RAID5中物理盘中3个条带大小的条带块;根据所有的记录号分配条带块的逻辑号和校验块以确定RAID5中物理盘的类型;基于起始位置和一个物理盘进行排序并设置RAID5中物理盘的类型,恢复RAID5中的数据。根据本发明的方法、装置、系统及存储介质,极大提高RAID5的结构类型检测速度的同时保证了数据判断的准确性,从而明显提升RAID5数据恢复的效果。
-
公开(公告)号:CN106095808B
公开(公告)日:2019-07-09
申请号:CN201610375289.4
申请日:2016-05-30
Applicant: 厦门市美亚柏科信息股份有限公司
Abstract: 本发明属于信息安全与计算机应用技术领域,具体涉及一种MDB文件碎片恢复的方法和装置。该方法包括以下步骤,S1,通过MDB文件的头部特征,获取相应的头部文件碎片集合H;S2,解析MSysObjects系统表格数据页,得到所有表格的定义页的索引;S3,头部文件碎片Hi碎片页的匹配,以及解析不同的页得到相关联的页索引;S4,判断头部文件碎片Hi是否完整,若不完整则转到步骤S3,若完整,则转到步骤S5;S5,根据MDB文件内部结构判断文件是否完整,如果完整转到步骤S8,否则转到步骤S6,S6,从空闲页中是否存在符合MDB文件结构的页,如果有则转到步骤S7,否则转到步骤S8;S7,将符合MDB文件结构的页合并到头部文件碎片Hi中,转到步骤S5;S8,尾部处理,输出恢复文件。
-
-
-
-
-
-
-
-
-
Search Results
155
records
(took 0.04 seconds)
