-
公开(公告)号:CN114218128A
公开(公告)日:2022-03-22
申请号:CN202111521652.6
申请日:2021-12-13
Applicant: 厦门市美亚柏科信息股份有限公司
Abstract: 公开了一种基于内存镜像离线提取DPAPI密钥方法和系统,包括加载内存镜像,从内存镜像中获取系统版本信息,提取lsass.exe进程的minidump;在lsasrv.dll内存范围分别以对应系统版本Logon Session Sign表的标志位的不同偏移进行Search Sign Apply Offset操作获取Logon Session List和Logon Session Count;根据不同的系统版本在对应的动态链接库内存范围以Cached Master Key结构获取各个Logon Session对应的Cache Master Key;在lsasrv.dll内存范围分别以对应系统版本Decrypt Key Sign表的标志位的不同偏移进行Search Sign Apply Offset操作获取16字节的IV和Key3DES,对Key3DES进行Search Sign Apply Offset操作获取Key AES;根据Cache Master Key、Key3DES、Key AES和IV解密获得各个Logon Session对应的Master Key。本发明具有免密获取、适用性好、成功率高的特点。
-
公开(公告)号:CN114003845A
公开(公告)日:2022-02-01
申请号:CN202111295910.3
申请日:2021-11-03
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F16/958 , G06F16/955
Abstract: 本发明给出了一种用于浏览器上网痕迹碎片的恢复方法,加载浏览器缓存文件index.dat文件的内容数据,读取正常记录的Hash集;获取内容数据中分配位图中未分配块列表,从未分配块列表中获取未分配块在分配位图的索引位置,并读取未分配块的块数据;在未分配块的块数据中匹配记录签名,响应于未匹配到签名,在块数据中正则匹配搜索URL地址,并保存展示。还公开了一种用于浏览器上网痕迹碎片的恢复系统,方法和系统通过对index.dat文件的未分配区块的解析处理,能够从index.dat文件的未分配区块的碎片数据,恢复重组出较完整的上网痕迹记录,具有恢复速度快、恢复准确率高的特点。
-
Patent Agency Ranking
公开(公告)号:CN116502715A
公开(公告)日:2023-07-28
申请号:CN202310172704.6
申请日:2023-02-28
Applicant: 厦门市美亚柏科信息股份有限公司
Abstract: 本申请涉及一种基于非结构数据的证据链构建方法、装置及存储介质,该方法使用非结构化数据的原始数据、文字转换结果、元数据特征等信息进行综合分析,其结果再经过原始数据分析、关联分析、语义分析等过程后,结合取证得到的结构化数据共同形成案件知识图谱。通过对取证知识图谱和证据链模型进行映射和转换,最终形成了办案中直接可用的证据链模型,该模型可以通过知识卡片的方式直观了解不同知识之间的相关性,完整还原整个案件分析的全过程,涉案线索之间相互映证,形成证据链闭环,极大地提高知识查询单精度,提升证据来源的精准度,延伸了知识获取的边界和范围。
-
公开(公告)号:CN113591157B
公开(公告)日:2022-12-16
申请号:CN202110779166.8
申请日:2021-07-09
Applicant: 厦门市美亚柏科信息股份有限公司
Abstract: 本发明涉及一种Access加密数据库检测方法、终端设备及存储介质,该方法中包括:读取Access加密数据库文件,并对Access加密数据库文件的文件签名进行校验,当校验通过时,从Access加密数据库文件中提取数据库的引擎版本,并根据引擎版本的不同类别分别通过不同的方式判断数据库是否加密。本发明根据Access加密数据库文件特征、Access版本间加密算法差异进行检测,具有无组件依赖、检测速度快、准确率高的特点。
-
公开(公告)号:CN114003845B
公开(公告)日:2022-07-08
申请号:CN202111295910.3
申请日:2021-11-03
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F16/958 , G06F16/955
Abstract: 本发明给出了一种用于浏览器上网痕迹碎片的恢复方法,加载浏览器缓存文件index.dat文件的内容数据,读取正常记录的Hash集;获取内容数据中分配位图中未分配块列表,从未分配块列表中获取未分配块在分配位图的索引位置,并读取未分配块的块数据;在未分配块的块数据中匹配记录签名,响应于未匹配到签名,在块数据中正则匹配搜索URL地址,并保存展示。还公开了一种用于浏览器上网痕迹碎片的恢复系统,方法和系统通过对index.dat文件的未分配区块的解析处理,能够从index.dat文件的未分配区块的碎片数据,恢复重组出较完整的上网痕迹记录,具有恢复速度快、恢复准确率高的特点。
-
公开(公告)号:CN114443562A
公开(公告)日:2022-05-06
申请号:CN202111591723.X
申请日:2021-12-23
Applicant: 厦门市美亚柏科信息股份有限公司
IPC: G06F16/11 , G06F16/176 , G06F16/182
Abstract: 本发明涉及一种远程电子数据取证方法及系统,该方法中包括:将被取证机器中需要进行取证分析的检材映射为镜像文件;将被取证机器中需要进行远程取证分析的检材对应的镜像文件挂载为共享文件;取证机器中的取证应用通过网络共享访问并加载共享文件中的镜像文件;被取证机器接收到文件读取请求后,由应用态向内核态的文件系统请求数据;被取证机器内核态的文件系统调用对应的文件系统驱动模块;被取证机器的文件系统驱动模块将读取镜像文件的文件读取请求重定向到读取文件系统中对应检材;被取证机器对重定向的检材进行读取并返回至取证机器。本发明可以实现跨机器远程访问电子数据,可以实现多人协同并行取证分析。
-
公开(公告)号:CN105335236B
公开(公告)日:2019-03-19
申请号:CN201510915168.X
申请日:2015-12-10
Applicant: 厦门市美亚柏科信息股份有限公司
Abstract: 本发明涉及电子介质取证领域,特别涉及一种分布式取证动态负载均衡调度方法和装置。本发明公开了一种分布式取证动态负载均衡调度方法和装置,它能够支持多介质高速并行取证分析的工作场景,它通过把任务分解到多个运算结点上进行处理,不仅节约了大量的时间,也大大提高了取证的效率。本发明能够减少或避免因网络负载、运算结点CPU、内存等分布不均而导致的整体性能下降问题。
-
-
-
-
-
-
Search Results
17
records
(took 0.046 seconds)
