公开(公告)号：CN108762826A

公开(公告)日：2018-11-06

申请号：CN201810365246.7

申请日：2018-04-23

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 许全聪 ,  申强 ,  吴少华 ,  黄志炜

IPC: G06F9/445

CPC classification number: G06F9/44563 ,  G06F9/44505

Abstract: 本发明公开了一种进程隐藏方法及计算机可读存储介质，方法包括：定时从进程列表中获取程序路径与预设的程序路径相匹配的进程，并获取所述进程的进程编号；当目标进程查询进程列表时，根据所获取的进程编号过滤进程列表，并将过滤后的进程列表返回给所述目标进程。本发明可简单高效地实现进程隐藏，且灵活性高，稳定性强，通用性强。

公开(公告)号：CN108093299A

公开(公告)日：2018-05-29

申请号：CN201711404796.7

申请日：2017-12-22

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 唐淮灿 ,  范玮 ,  吴少华 ,  沈长达

IPC: H04N21/4402 ,  H04N21/81 ,  H04N21/854 ,  H04N21/439

Abstract: 本发明公开了一种MP4损坏文件的修复方法及存储介质，方法包括：获取参照视频；获取所述参照视频的序列参数集；根据所述序列参数集，对损坏文件中的条带头进行解码，得到条带类型和视频帧的帧号；若所述条带类型的值在预设的范围内且帧号连续，则判定所述条带头对应的视频帧为合法的视频帧；获取损坏文件中合法的视频帧，得到视频帧集合；获取损坏文件中两两视频帧之间的帧，得到音频帧集合；将所述视频帧集合中的视频帧和音频帧集合中的音频帧根据偏移进行排序，得到视音频帧集合；根据所述参照视频和所述视音频帧集合，得到修复文件。本发明可整体提高MP4损坏文件的修复效果和修复支持率。

公开(公告)号：CN108062262A

公开(公告)日：2018-05-22

申请号：CN201711419761.0

申请日：2017-12-25

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 林志玮 ,  黄志炜 ,  吴少华

IPC: G06F11/14

Abstract: 本发明提供一种基于存储扇区数据的操作系统备份和还原方法及其系统，方法包括：获取系统磁盘分区的有效使用空间；获取所述空间内存储的包括主引导记录扇区数据的所有原始磁盘数据，并对其进行数据压缩，组织成预设格式的备份数据；将所述备份数据存储至隐藏备份分区。本发明对操作系统相关的扇区数据(包括主引导记录扇区数据)采用预设格式进行备份并将其存储在一隐藏备份分区；在系统感染了病毒或者文件系统被破坏，无法进入系统时，能够通过还原备份的扇区数据有效、及时地恢复系统。

公开(公告)号：CN103701829B

公开(公告)日：2017-01-04

申请号：CN201410004313.4

申请日：2014-01-03

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 苏再添 ,  吴少华 ,  林艺滨

IPC: H04L29/06 ,  H04L9/06

Abstract: 本发明公开一种离线解析DPAPI加密块数据的方法，包括步骤：S1、加载待分析设备数据源，确定待分析设备数据源磁盘Windows操作系统分区；S2、获取系统账号主密钥文件、System文件和Security文件；S3、通过扫描DPAPI加密块特征值获取待解密文件的DPAPI加密块；S4、解析System文件和Security文件获取Pbkdf2密钥明文；S5、获取解密系统账号主密钥文件所需的关键信息，使用Pbkdf2密钥解密系统账号主密钥文件得到主密钥明文；S6、使用主密钥解密DPAPI加密块得到数据明文。本发明的有益效果为：本发明无需依赖于目标数据源所在的操作系统，也无需知道计算机的用户名和密码，即可对DPAPI系统存储区的加密数据进行解密，同时也满足对证据源只读操作和跨平台解密的需求。

公开(公告)号：CN106095808A

公开(公告)日：2016-11-09

申请号：CN201610375289.4

申请日：2016-05-30

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 沈长达 ,  邵炳阳 ,  吴少华 ,  黄志炜 ,  申强

IPC: G06F17/30 ,  G06F11/14

CPC classification number: G06F11/1448 ,  G06F16/22

Abstract: 本发明属于信息安全与计算机应用技术领域，具体涉及一种MDB文件碎片恢复的方法和装置。该方法包括以下步骤，S1，通过MDB文件的头部特征，获取相应的头部文件碎片集合H；S2，解析MSysObjects系统表格数据页，得到所有表格的定义页的索引；S3，头部文件碎片Hi碎片页的匹配，以及解析不同的页得到相关联的页索引；S4，判断头部文件碎片Hi是否完整，若不完整则转到步骤S3，若完整，则转到步骤S5；S5，根据MDB文件内部结构判断文件是否完整，如果完整转到步骤S8，否则转到步骤S6，S6，从空闲页中是否存在符合MDB文件结构的页，如果有则转到步骤S7，否则转到步骤S8；S7，将符合MDB文件结构的页合并到头部文件碎片Hi中，转到步骤S5；S8，尾部处理，输出恢复文件。

公开(公告)号：CN105740103A

公开(公告)日：2016-07-06

申请号：CN201610073490.7

申请日：2016-02-02

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 沈长达 ,  赵宪伟 ,  吴少华 ,  黄志炜 ,  申强

IPC: G06F11/14 ,  G06F17/30

CPC classification number: G06F11/1435 ,  G06F11/1471 ,  G06F17/30194

Abstract: 本发明属于信息安全技术领域，具体涉及一种基于日志的NTFS删除文件恢复方法和装置。该方法通过分析MFT相关的日志信息并结合MFT自身信息，能够重组被覆盖的文件记录，从而更好的恢复出相应的删除文件。该方法解决现有技术方案在文件记录被覆盖情况下无法恢复的问题，使得NTFS删除文件的恢复技术得到进一步的完善。

公开(公告)号：CN105608066A

公开(公告)日：2016-05-25

申请号：CN201511010252.3

申请日：2015-12-29

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 黄卓明 ,  黄在勇 ,  吴少华

IPC: G06F17/24

CPC classification number: G06F17/248 ,  G06F17/246

Abstract: 本发明属于计算机信息处理技术领域，具体涉及一种基于模板和标签的证据报告生成方法及装置，应用于取证分析领域的取证分析报告。该方法包括以下步骤，S1，获取标签信息，标签信息与标签符号一一对应；S2，根据报告模板以及模板上的标签符号，将标签符号对应的标签信息导入到模板上，自动生成报告；S3，编辑报告，编辑模板，编辑标签符号和标签信息；S4，将报告导出。本发明是具有可编辑并且可灵活定制模板形式和信息录入的报告自动生成方法。在模板，信息录入，可编辑性等方面上进行了改进。

公开(公告)号：CN103701829A

公开(公告)日：2014-04-02

申请号：CN201410004313.4

申请日：2014-01-03

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 苏再添 ,  吴少华 ,  林艺滨

IPC: H04L29/06 ,  H04L9/06

Abstract: 本发明公开一种离线解析DPAPI加密块数据的方法，包括步骤：S1.加载待分析设备数据源，确定待分析设备数据源磁盘Windows操作系统分区；S2.获取系统账号主密钥文件、System文件和Security文件；S3.通过扫描DPAPI加密块特征值获取待解密文件的DPAPI加密块；S4.解析System文件和Security文件获取Pbkdf2密钥明文；S5.获取解密系统账号主密钥文件所需的关键信息，使用Pbkdf2密钥解密系统账号主密钥文件得到主密钥明文；S6.使用主密钥解密DPAPI加密块得到数据明文。本发明的有益效果为：本发明无需依赖于目标数据源所在的操作系统，也无需知道计算机的用户名和密码，即可对DPAPI系统存储区的加密数据进行解密，同时也满足对证据源只读操作和跨平台解密的需求。

公开(公告)号：CN111104259B

公开(公告)日：2022-08-12

申请号：CN201911341016.8

申请日：2019-12-23

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 梁德荣 ,  沈长达 ,  吴少华

IPC: G06F11/14 ,  G06F16/22

Abstract: 本发明公开了一种数据库恢复方法及装置，根据索引ID和页所属表的分配单元ID所对应的数值将数据页分别进行分类得到数据页列表，其中数据页列表包括第一数据页列表和第二数据页列表；根据页所属表的分配单元ID所对应的数据页列表分别获取系统表，分别通过系统表的表结构按顺序解析系统表中数据页的所有记录并恢复删除的系统表记录，得到系统表的记录列表；以及第一数据页列表中获取属于同一索引的数据页，根据系统表的记录列表得到用户表的表结构，并解析同一索引的数据页中的正常记录，恢复出用户表的删除记录。通过恢复系统表数据可以恢复出用户表数据，从而解决了索引结构被破坏情况下系统表的恢复，并解决了文件被病毒破坏等情况下的数据恢复。

公开(公告)号：CN108062358B

公开(公告)日：2020-12-29

申请号：CN201711213512.6

申请日：2017-11-28

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 梁德荣 ,  田庆宜 ,  沈长达 ,  吴少华

IPC: G06F16/22 ,  G06F16/28 ,  G06F16/245

Abstract: 本发明提供一种innodb存储引擎删除记录的离线恢复方法、存储介质，方法包括依据表空间文件的数据字典信息获取索引页的根节点页号；从所述根节点页号开始，遍历每个节点；通过遍历每个节点对应索引页的正常记录链表以及删除记录链表中的每条记录，依据每条记录的偏移地址和记录号，以及当前索引页内所有的记录数，获取未维护删除记录对应的记录号以及偏移地址范围；依据未维护删除记录的记录号，从对应的偏移地址范围中解析得到与所述未维护删除记录的记录号一致的记录。能够实现基于innodb索引页结构、记录结构以及字段特征实现全面、准确地恢复出系统未维护的删除记录的准确恢复。