公开(公告)号：CN112487466A

公开(公告)日：2021-03-12

申请号：CN202011479086.2

申请日：2020-12-16

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 叶景 ,  沈长达 ,  杜新胜 ,  黄志炜 ,  陈杭

IPC: G06F21/60 ,  G06F21/62

Abstract: 本发明涉及一种无特征加密文件检测方法、终端设备及存储介质，该方法中包括：S1：判断文件内是否包含已知的特征，如果是，结束；否则，进入S2；S2：判断文件的大小是否大于预设的文件最小值，如果是，进入S3；否则，结束；S3：对文件进行解析，并获取文件的有效数据区域。S4：判断文件的有效数据区域中的数据是否离散，如果是，进入S5；否则，结束；S5：判断文件是否为加密文件，如果是，则判定文件为无特征加密文件；否则，结束。本发明实现了无特征加密文件的快速检测，具有检测速度快、精度高的特点，为电子数据取证中加密文件的快速全面检测提供了有力的技术支撑。

公开(公告)号：CN114281766B

公开(公告)日：2024-11-22

申请号：CN202111418912.7

申请日：2021-11-26

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 叶景 ,  沈长达 ,  黄志炜 ,  陈杭 ,  杨佳悦

IPC: G06F16/16 ,  G06F16/13 ,  G06F16/901 ,  G06F21/64

Abstract: 本发明涉及一种TrueCrypt隐藏分区识别方法、终端设备及存储介质，该方法中包括：解析注册表HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices和ShellBag信息后，通过盘符信息的比对，得到存储有TrueCrypt对应盘符下的文件夹路径和文件夹最后访问时间的第二链表；通过将第二链表中所有元素对应的文件夹路径中的盘符信息移除后，采用已知的密码挂载加密卷，并根据挂载的加密卷的文件夹路径信息和文件夹最后访问时间得到第三链表；通过对第二链表和第三联表内容的比对，判断是否存在隐藏分区。本发明能够有效的识别到隐藏分区，为电子数据取证的全面深入完整，提供了技术支撑。

公开(公告)号：CN112463736B

公开(公告)日：2022-05-20

申请号：CN202011461709.3

申请日：2020-12-11

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 沈长达 ,  杜新胜 ,  黄志炜 ,  叶景

IPC: G06F16/13 ,  G06F16/16 ,  G06F11/14

Abstract: 本发明给出了一种用于APFS文件的恢复方法和系统，包括解析获取APFS文件信息块的叶子节点信息集合；获取叶子节点信息集合中空闲数据区域集合，并依照叶子节点在B‑Tree树中的位置从左至右排序；响应于空闲数据区域集合中还有未获取元素，获取一元素并对元素指向的区域数据进行ThreadRecord数据区域检测，并检测与ThreadRecord数据配对的DataIndexRecord数据区域；响应于一数据索引的数据大小与已构建数据索引集合中所有数据大小之和不大于文件大小，将数据索引的信息添加至已构建数据索引集合中生成对应文件的数据索引信息集合；根据ThreadRecord数据以及对应文件的数据索引信息集合恢复删除文件。该方法为APFS删除文件的快速恢复提供了解决方案。

公开(公告)号：CN114281766A

公开(公告)日：2022-04-05

申请号：CN202111418912.7

申请日：2021-11-26

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 叶景 ,  沈长达 ,  黄志炜 ,  陈杭 ,  杨佳悦

IPC: G06F16/16 ,  G06F16/13 ,  G06F16/901 ,  G06F21/64

Abstract: 本发明涉及一种TrueCrypt隐藏分区识别方法、终端设备及存储介质，该方法中包括：解析注册表HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices和ShellBag信息后，通过盘符信息的比对，得到存储有TrueCrypt对应盘符下的文件夹路径和文件夹最后访问时间的第二链表；通过将第二链表中所有元素对应的文件夹路径中的盘符信息移除后，采用已知的密码挂载加密卷，并根据挂载的加密卷的文件夹路径信息和文件夹最后访问时间得到第三链表；通过对第二链表和第三联表内容的比对，判断是否存在隐藏分区。本发明能够有效的识别到隐藏分区，为电子数据取证的全面深入完整，提供了技术支撑。

公开(公告)号：CN112463736A

公开(公告)日：2021-03-09

申请号：CN202011461709.3

申请日：2020-12-11

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 沈长达 ,  杜新胜 ,  黄志炜 ,  叶景

IPC: G06F16/13 ,  G06F16/16 ,  G06F11/14

Abstract: 本发明给出了一种用于APFS文件的恢复方法和系统，包括解析获取APFS文件信息块的叶子节点信息集合；获取叶子节点信息集合中空闲数据区域集合，并依照叶子节点在B‑Tree树中的位置从左至右排序；响应于空闲数据区域集合中还有未获取元素，获取一元素并对元素指向的区域数据进行ThreadRecord数据区域检测，并检测与ThreadRecord数据配对的DataIndexRecord数据区域；响应于一数据索引的数据大小与已构建数据索引集合中所有数据大小之和不大于文件大小，将数据索引的信息添加至已构建数据索引集合中生成对应文件的数据索引信息集合；根据ThreadRecord数据以及对应文件的数据索引信息集合恢复删除文件。该方法为APFS删除文件的快速恢复提供了解决方案，填补了国内外APFS删除文件快速恢复技术方面的空白。