-
公开(公告)号:CN111581163B
公开(公告)日:2022-03-08
申请号:CN202010396804.3
申请日:2020-05-12
Applicant: 山东省计算中心(国家超级计算济南中心)
Abstract: 本发明公开了基于NTFS文件系统的数据无痕删除方法及系统,包括:读取NTFS卷头信息;对NTFS卷头信息进行解析;定位$MFT文件的起始地址;定位根目录的MFT表的起始地址;根据根目录的MFT表,获取根目录文件内容的起始地址;根据根目录文件内容的起始地址,对根目录进行解析,获取根目录下文件夹和文件的文件记录号;根据根目录下文件夹和文件的文件记录号,计算文件记录号的个数,对文件记录号对应的文件名依次循环遍历,判断文件记录号对应的文件名与待无痕删除的文件名是否相同;如果文件名相同,则删除与文件相关的所有痕迹;如果文件名不同,则对下一个文件记录号对应的文件名进行判断。
-
公开(公告)号:CN111581163A
公开(公告)日:2020-08-25
申请号:CN202010396804.3
申请日:2020-05-12
Applicant: 山东省计算中心(国家超级计算济南中心)
Abstract: 本发明公开了基于NTFS文件系统的数据无痕删除方法及系统,包括:读取NTFS卷头信息;对NTFS卷头信息进行解析;定位$MFT文件的起始地址;定位根目录的MFT表的起始地址;根据根目录的MFT表,获取根目录文件内容的起始地址;根据根目录文件内容的起始地址,对根目录进行解析,获取根目录下文件夹和文件的文件记录号;根据根目录下文件夹和文件的文件记录号,计算文件记录号的个数,对文件记录号对应的文件名依次循环遍历,判断文件记录号对应的文件名与待无痕删除的文件名是否相同;如果文件名相同,则删除与文件相关的所有痕迹;如果文件名不同,则对下一个文件记录号对应的文件名进行判断。
-
公开(公告)号:CN109033828A
公开(公告)日:2018-12-18
申请号:CN201810827278.4
申请日:2018-07-25
Applicant: 山东省计算中心(国家超级计算济南中心)
Abstract: 本发明的基于计算机内存分析技术的木马检测方法,包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现;行为监控包括进程操作、注册表操作、文件操作和网络数据监控,恶意代码检测包括动态链接库检测、恶意进程、隐藏进程检测、驱动检测,磁盘信息综合分析包括注册表启动项、文件扫描、PE文件解析。本发明的木马检测方法,对于存在加密保护的恶意代码,其在内存中运行时的状态是解密状态,使用本技术检测此类恶意代码无需进行解密,检测结果更为可靠,能有效防止rootkit攻击对木马检测结果造成的影响。
-
公开(公告)号:CN109033828B
公开(公告)日:2021-06-01
申请号:CN201810827278.4
申请日:2018-07-25
Applicant: 山东省计算中心(国家超级计算济南中心)
Abstract: 本发明的基于计算机内存分析技术的木马检测方法,包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现;行为监控包括进程操作、注册表操作、文件操作和网络数据监控,恶意代码检测包括动态链接库检测、恶意进程、隐藏进程检测、驱动检测,磁盘信息综合分析包括注册表启动项、文件扫描、PE文件解析。本发明的木马检测方法,对于存在加密保护的恶意代码,其在内存中运行时的状态是解密状态,使用本技术检测此类恶意代码无需进行解密,检测结果更为可靠,能有效防止rootkit攻击对木马检测结果造成的影响。
-
-
-
Search Results
4
records
(took 0.037 seconds)
