CN107748705B - 系统evt日志碎片恢复的方法、终端设备及存储介质 - Google Patents
系统evt日志碎片恢复的方法、终端设备及存储介质 Download PDFInfo
- Publication number
- CN107748705B CN107748705B CN201711087887.2A CN201711087887A CN107748705B CN 107748705 B CN107748705 B CN 107748705B CN 201711087887 A CN201711087887 A CN 201711087887A CN 107748705 B CN107748705 B CN 107748705B
- Authority
- CN
- China
- Prior art keywords
- log
- record
- recording
- recording head
- information block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1471—Saving, restoring, recovering or retrying involving logging of persistent data for recovery
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开一种操作系统EVT日志碎片恢复的方法,包括如下步骤,S1:设置操作系统EVT日志采用的存储结构,进入S2步骤;S2:通过记录签名搜索记录头,若有搜索到,则进入S3步骤;若未搜索到,则进入S6步骤;S3:判断记录头结构是否完整,若是,则进入S4步骤;若否,返回S2步骤;S4:判断日志记录信息块结构是否完整,若是,则进入S5步骤;若否,返回S2步骤;S5:解析并恢复日志记录,返回S2步骤;S6:对已恢复的日志记录进行排序以还原原始日志记录的顺序及内容:对S5中所有已恢复的单条日志记录,按日志记录信息块中记录头的记录编号大小进行排序,还原出原始日志记录的顺序及内容。
Description
技术领域
本发明涉及系统安全技术领域,具体是一种操作系统EVT日志碎片恢复的方法、终端设备及存储介质。
背景技术
Windows操作系统的日志记录着从开机到关机之间的各种系统事件及用户事件的发生时间、描述和结果等信息,从中可以提炼出如开关机时间、系统登录时间、远程/被远程连接记录等有用数据,日志分析是取证人员经常来分析用户行为的一种重要方法。
在Windows XP、2000、2003系统上,操作系统日志以EVT文件格式进行存储,默认存储在系统分区下的Windows\system32\config目录下,目录下包括系统日志SysEvent.evt、安全日志SecEvent.evt、应用程序日志AppEvent.Evt以及其他程序的日志,利用事件查看器可以对日志文件执行打开、另存、过滤、清除等操作。
传统的分析方式包括使用事件查看器查看和工具提取日志记录,但都仅限在正常日志文件范围内进行查看和分析。
目前,市面上大部分取证软件对日志文件的分析取证都仅限在正常日志文件中,若嫌疑人懂得一些反取证技术,对日志进行清理或者格式化磁盘,则会使取证人员丢失很大一部分的有效数据。若能把删除的日志恢复回来,则可从中找出嫌疑人试图掩盖的事实。常见的恢复方式是签名恢复,根据头部签名以及尾部签名判断出文件首尾,还原出日志文件,但因数据在未分配簇中并不一定是连续存放的,或者头部签名已被覆盖,所以恢复出来的数据经常是缺失或者无效的。
发明内容
为了解决上述问题,本发明提供一种操作系统EVT日志碎片恢复的方法、终端设备及存储介质,在基于对EVT日志文件整体结构详细了解的基础上提出了一种“EVT日志碎片恢复的方法”,该方法能够从未分配簇中恢复出单条已删除的EVT日志记录,再通过特定方法进行组合还原出一份完整的日志。
本发明一种操作系统EVT日志碎片恢复的方法,包括如下步骤:
S1:设置操作系统EVT日志采用的存储结构:设置操作系统EVT日志采用的存储结构,存储结构包括头部块、日志记录信息块和尾部块,日志记录信息块包括记录头、事件描述块和数据块,记录头至少包括记录签名、记录编号、记录时间、记录长度和事件相关信息,数据块至少包括记录长度和数据相关信息,进入S2步骤;
S2:通过记录签名搜索记录头:通过搜索记录头中记录签名的存储位置,进行记录头的搜索,并判断是否搜索到记录头,若有搜索到,则进入S3步骤;若未搜索到,则进入S6步骤;
S3:判断记录头结构是否完整:判断搜索到的记录头是否结构完整的记录头,若是,则进入S4步骤;若否,返回S2步骤;
S4:判断日志记录信息块结构是否完整:判断搜索到的记录头所在的日志记录信息块是否结构完整的日志记录信息块,若是,则进入S5步骤;若否,返回S2步骤;
S5:解析并恢复日志记录:解析搜索到的日志记录信息块,若符合S1中设置的日志记录信息块的存储格式,则将其进行保存,以恢复日志记录,若不符合,则不保存,返回S2步骤;
S6:对已恢复的日志记录进行排序以还原原始日志记录的顺序及内容:对S5中所有已恢复的单条日志记录,按日志记录信息块中记录头的记录编号大小进行排序,还原出原始日志记录的顺序及内容。
进一步的,所述操作系统为Windows操作系统。
更进一步的,S1中,记录头的存储结构设置为:记录签名的偏移位置为4,长度为4字节,记录长度的偏移位置为0,长度为4字节,记录头的总长度为56字节;数据块的最后4个字节设置为记录长度,和记录头中的记录长度对应。
更进一步的,S2中,判断是否搜索到记录头,具体为:判断记录头中记录签名的存储位置是否大于0,若大于0,则搜索到,若小于或等于0,则未搜索到。
更进一步的,S3中,判断搜索到的记录头是否结构完整的记录头,具体为:判断搜索到的记录头的记录长度的存储位置是否大于56,若是,则记录头是结构完整的记录头,若否,则不是结构完整的记录头。
更进一步的,S4中,判断搜索到的记录头所在的日志记录信息块是否结构完整的日志记录信息块,具体为:判断搜索到的记录头中存储的记录长度和记录头所在的日志记录信息块的数据块中存储的记录长度是否一致,若一致,则记录头所在的日志记录信息块是结构完整的日志记录信息块,若不一致,则记录头所在的日志记录信息块不是结构完整的日志记录信息块。
本发明一种操作系统EVT日志碎片恢复的终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现操作系统EVT日志碎片恢复的方法的步骤。
本发明一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现操作系统EVT日志碎片恢复的方法的步骤。
本发明的有益效果:
通过在操作系统EVT日志的存储结构中,设置头部块、日志记录信息块和尾部块,并在日志记录信息块的记录头设置有记录长度、记录编号和记录签名等字段,并且在日志记录信息块的最后4个字节再一次设置有记录长度字段,通过对这几个字段进行校验,即可确定是否一条完整的日志记录,再通过记录头的记录编号等字段信息,还可把多条分散的日志记录重新组合。从而实现操作系统EVT日志碎片的恢复。
附图说明
图1为本发明实施例一的方法流程图;
图2为本发明实施例一的日志记录信息块的恢复流程示意图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
现结合附图和具体实施方式对本发明进一步说明。
EVT文件的头部及尾部包含签名和互相备份的偏移信息,现有的EVT文件恢复技术,是通过寻找匹配的头部及尾部来实现的。但EVT文件在未分配簇中并不一定是连续存储的,即头尾部之间可能混杂着其他数据内容,所以恢复出来的文件并不能保证完全正确。本发明的原理是:因为每一个日志记录信息块都是一条独立完整的日志信息,故只需要找出完整的信息块,即可恢复出一条日志记录。因而在信息块的记录头设置了记录长度、记录编号和记录签名等字段信息,并且在记录的最后4个字节再一次存储记录长度的字段信息,通过对这几个字段进行校验,即可确定是否一条完整的日志记录。再通过记录头的编号等信息,还可把多条分散的记录重新组合。从而实现操作系统EVT日志碎片的恢复。
实施例一:
请参阅图1-图2所示,本实施例提供了一种操作系统EVT日志碎片恢复的方法,本实施例以应用于Windows操作系统来对本方法进行详细的阐述。
本发明所阐述的方法具体过程如下:
S1:设置操作系统EVT日志采用的存储结构:设置操作系统EVT日志采用的存储结构,存储结构包括头部块、日志记录信息块和尾部块,日志记录信息块包括记录头、事件描述块和数据块,记录头至少包括记录签名、记录编号、记录时间、记录长度和事件相关信息,数据块至少包括记录长度和数据相关信息,
具体的,本方法的Windows操作系统EVT日志采用的存储结构(以下简称EVT)主要由头部块、日志记录信息块、以及尾部块组成。其中,头部块包含了头部大小、签名、起始偏移和下一条记录编号等信息;日志记录信息块包含了记录编号、事件类型、事件等级、事件描述等信息;尾部块包含签名、下一条记录偏移、下一条记录编号等信息。三个主要组成部分的关系如表一所示:
| 头部 | 日志记录1 | 日志记录2 | …… | 尾部 |
表一EVT的存储结构表
头部块的长度固定为48个字节,主要存储着文件签名以及日志记录信息块的一些重要索引信息,其详细结构如表二所示:
| 偏移 | 大小(字节) | 值 | 描述 |
| 0 | 4 | \x30\x00\x00\x00 | 头部大小 |
| 4 | 4 | \x4C\x66\x4C\x65 | 文件签名 |
| 8 | 4 | \x01\x00\x00\x00 | Major版本 |
| 12 | 4 | \x01\x00\x00\x00 | Minor版本 |
| 16 | 4 | 最早一条记录的偏移量 | |
| 20 | 4 | 下一条记录的偏移量 | |
| 24 | 4 | 下一条记录的编号 | |
| 28 | 4 | 最早一条记录的编号 | |
| 32 | 4 | 文件占用大小 | |
| 36 | 4 | 标志位 | |
| 40 | 4 | 保留值 | |
| 44 | 4 | \x30\x00\x00\x00 | 头部大小 |
表二头部块的详细存储结构表
日志记录信息块是EVT文件的基本组成单元,存储了计算机运行过程中系统产生的所有事件以及用户进行的操作。每条记录分别由记录头、事件描述块及数据块组成。如表三所示:
表三日志记录信息块的存储结构表
其中记录头的详细结构如表四所示:
表四日志记录信息块的记录头的存储结构表
尾部块是大小固定40字节的数据块,存储的是头部块信息的备份,其详细结构如表五所示:
表五尾部块的存储结构表
从表一至表五所知,记录头的存储结构设置为:记录签名的偏移位置为4,长度为4字节,记录长度的偏移位置为0,长度为4字节,记录头的总长度为56字节。另外,本实施例中,数据块的最后4个字节也设置为记录长度(此点表中未体现),和记录头中的记录长度对应,以便后续日志文件恢复的操作。
进入S2步骤;
S2:通过记录签名搜索记录头:通过搜索记录头中记录签名的存储位置,进行记录头的搜索,并判断是否搜索到记录头,若有搜索到,则进入S3步骤;若未搜索到,则进入S6步骤;
其中,判断是否搜索到记录头,具体为:判断记录头中记录签名的存储位置是否大于0,若大于0,则搜索到,若小于或等于0,则未搜索到。
S3:判断记录头结构是否完整:判断搜索到的记录头是否结构完整的记录头,若是,则进入S4步骤;若否,返回S2步骤;
其中,判断搜索到的记录头是否结构完整的记录头,具体为:判断搜索到的记录头的记录长度的存储位置是否大于56,若是,则记录头是结构完整的记录头,若否,则不是结构完整的记录头。
S4:判断日志记录信息块结构是否完整:判断搜索到的记录头所在的日志记录信息块是否结构完整的日志记录信息块,若是,则进入S5步骤;若否,返回S2步骤;
其中,判断搜索到的记录头所在的日志记录信息块是否结构完整的日志记录信息块,具体为:判断搜索到的记录头中存储的记录长度和记录头所在的日志记录信息块的数据块中存储的记录长度是否一致,若一致,则记录头所在的日志记录信息块是结构完整的日志记录信息块,若不一致,则记录头所在的日志记录信息块不是结构完整的日志记录信息块。
S5:解析并恢复日志记录:解析搜索到的日志记录信息块,若符合S1中设置的日志记录信息块的存储格式,则将其进行保存,以恢复日志记录,若不符合,则不保存,返回S2步骤;
S6:对已恢复的日志记录进行排序以还原原始日志记录的顺序及内容:对S5中所有已恢复的单条日志记录,按日志记录信息块中记录头的记录编号大小进行排序,还原出原始日志记录的顺序及内容。
本实施例对S2-S6的日志记录信息块的恢复流程的具体实现算法说明如下:
S2:搜索记录头的记录签名(本实施例中,根据表四的存储结构可知,记录头的记录签名为0x4C664C65),获取相应的“记录签名的偏移”设为SIGNOFFSET;判断获取到的SIGNOFFSET是否大于0,若大于则表明有搜索到记录头,转S3,否则转S6;
S3:定义变量RECORDLEN等于SIGNOFFSET-4,判断RECORDLEN是否大于56,若大于则表明搜索到的记录头是结构完整的记录头,转S4,否则表明搜索到的记录头不是结构完整的记录头,转S2;
S4:定义变量RECORDLENCHECK等于SIGNOFFSET+RECORDLEN-8,判断RECORDLEN是否等于RECORDLENCHECK,若等于则表明搜索到的记录头所在的日志记录信息块是结构完整的日志记录信息块,转S5,否则表明搜索到的记录头所在的日志记录信息块不是结构完整的日志记录信息块,转S2;
S5:根据前面定义的日志记录信息块存储结构,解析从SIGNOFFSET-4开始的RECORDLEN个字节数据,若符合S1中设置的日志记录信息块的存储格式,则将其进行保存,以恢复日志记录,若不符合,则不保存,然后转S2;
S6:对已恢复的日志记录进行排序以还原原始日志记录的顺序及内容:对S5中所有已恢复的单条日志记录,按日志记录信息块中记录头的记录编号大小进行排序,还原出原始日志记录的顺序及内容。
为了验证本发明所提方法的正确性,将一个Windows XP系统盘进行格式化后再通过本发明的方法进行恢复,恢复效果如表六所示:
表六对Windows XP系统盘进行EVT日志碎片恢复后的效果示意
实施例二:
本发明还提供一种操作系统EVT日志碎片恢复的终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述方法实施例中的步骤,例如图1-图2所示的步骤的方法步骤。
进一步地,作为一个可执行方案,所述操作系统EVT日志碎片恢复的终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述操作系统EVT日志碎片恢复的终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述操作系统EVT日志碎片恢复的终端设备的组成结构仅仅是操作系统EVT日志碎片恢复的终端设备的示例,并不构成对操作系统EVT日志碎片恢复的终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述操作系统EVT日志碎片恢复的终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述操作系统EVT日志碎片恢复的终端设备的控制中心,利用各种接口和线路连接整个操作系统EVT日志碎片恢复的终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述操作系统EVT日志碎片恢复的终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述操作系统EVT日志碎片恢复的终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
本发明一种操作系统EVT日志碎片恢复的方法、终端设备及存储介质,通过在操作系统EVT日志的存储结构中,设置头部块、日志记录信息块和尾部块,并在日志记录信息块的记录头设置有记录长度、记录编号和记录签名等字段,并且在日志记录信息块的最后4个字节再一次设置有记录长度字段,通过对这几个字段进行校验,即可确定是否一条完整的日志记录,再通过记录头的记录编号等字段信息,还可把多条分散的日志记录重新组合。从而实现操作系统EVT日志碎片的恢复。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (7)
1.一种操作系统EVT日志碎片恢复的方法,其特征在于:包括如下步骤:
S1:设置操作系统EVT日志采用的存储结构:设置操作系统EVT日志采用的存储结构,存储结构包括头部块、日志记录信息块和尾部块,日志记录信息块包括记录头、事件描述块和数据块,记录头至少包括记录签名、记录编号、记录时间、记录长度和事件相关信息,数据块至少包括记录长度和数据相关信息;其中,记录头的存储结构设置为:记录签名的偏移位置为4,长度为4字节,记录长度的偏移位置为0,长度为4字节,记录头的总长度为56字节;数据块的最后4个字节设置为记录长度,和记录头中的记录长度对应;进入S2步骤;
S2:通过记录签名搜索记录头:通过搜索记录头中记录签名的存储位置,进行记录头的搜索,并判断是否搜索到记录头,若有搜索到,则进入S3步骤;若未搜索到,则进入S6步骤;
S3:判断记录头结构是否完整:判断搜索到的记录头是否结构完整的记录头,若是,则进入S4步骤;若否,返回S2步骤;
S4:判断日志记录信息块结构是否完整:判断搜索到的记录头所在的日志记录信息块是否结构完整的日志记录信息块,若是,则进入S5步骤;若否,返回S2步骤;
S5:解析并恢复日志记录:解析搜索到的日志记录信息块,若符合S1中设置的日志记录信息块的存储格式,则将其进行保存,以恢复日志记录,若不符合,则不保存,返回S2步骤;
S6:对已恢复的日志记录进行排序以还原原始日志记录的顺序及内容:对S5中所有已恢复的单条日志记录,按日志记录信息块中记录头的记录编号大小进行排序,还原出原始日志记录的顺序及内容。
2.如权利要求1所述的操作系统EVT日志碎片恢复的方法,其特征在于:所述操作系统为Windows操作系统。
3.如权利要求1或2任一所述的操作系统EVT日志碎片恢复的方法,其特征在于:S2中,判断是否搜索到记录头,具体为:判断记录头中记录签名的存储位置是否大于0,若大于0,则搜索到,若小于或等于0,则未搜索到。
4.如权利要求3所述的操作系统EVT日志碎片恢复的方法,其特征在于:S3中,判断搜索到的记录头是否结构完整的记录头,具体为:判断搜索到的记录头的记录长度的存储位置是否大于56,若是,则记录头是结构完整的记录头,若否,则不是结构完整的记录头。
5.如权利要求4所述的操作系统EVT日志碎片恢复的方法,其特征在于:S4中,判断搜索到的记录头所在的日志记录信息块是否结构完整的日志记录信息块,具体为:判断搜索到的记录头中存储的记录长度和记录头所在的日志记录信息块的数据块中存储的记录长度是否一致,若一致,则记录头所在的日志记录信息块是结构完整的日志记录信息块,若不一致,则记录头所在的日志记录信息块不是结构完整的日志记录信息块。
6.一种操作系统EVT日志碎片恢复的终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于:所述处理器执行所述计算机程序时实现如权利要求1-5所述方法的步骤。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-5所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711087887.2A CN107748705B (zh) | 2017-11-08 | 2017-11-08 | 系统evt日志碎片恢复的方法、终端设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711087887.2A CN107748705B (zh) | 2017-11-08 | 2017-11-08 | 系统evt日志碎片恢复的方法、终端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107748705A CN107748705A (zh) | 2018-03-02 |
| CN107748705B true CN107748705B (zh) | 2020-04-14 |
Family
ID=61251006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711087887.2A Active CN107748705B (zh) | 2017-11-08 | 2017-11-08 | 系统evt日志碎片恢复的方法、终端设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107748705B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108459930B (zh) * | 2018-04-02 | 2020-09-11 | 深圳臻迪信息技术有限公司 | 数据备份方法、装置和存储介质 |
| CN110427282B (zh) * | 2019-07-17 | 2022-05-27 | 厦门市美亚柏科信息股份有限公司 | 用于日志碎片恢复的方法、装置及计算机可读介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1851661A (zh) * | 2006-06-07 | 2006-10-25 | 中国科学院计算技术研究所 | 一种面向大规模计算系统的高可信日志系统实现方法 |
| CN101329642A (zh) * | 2008-06-11 | 2008-12-24 | 华中科技大学 | 基于时间戳日志存储的连续数据保护和恢复方法 |
| CN101436207A (zh) * | 2008-12-16 | 2009-05-20 | 浪潮通信信息系统有限公司 | 一种基于日志快照的数据恢复和同步方法 |
| CN102089746A (zh) * | 2008-05-13 | 2011-06-08 | 微软公司 | 采用事务日志的闪存恢复 |
| CN105740103A (zh) * | 2016-02-02 | 2016-07-06 | 厦门市美亚柏科信息股份有限公司 | 一种基于日志的ntfs删除文件恢复方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4551096B2 (ja) * | 2004-02-03 | 2010-09-22 | 株式会社日立製作所 | ストレージサブシステム |
-
2017
- 2017-11-08 CN CN201711087887.2A patent/CN107748705B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1851661A (zh) * | 2006-06-07 | 2006-10-25 | 中国科学院计算技术研究所 | 一种面向大规模计算系统的高可信日志系统实现方法 |
| CN102089746A (zh) * | 2008-05-13 | 2011-06-08 | 微软公司 | 采用事务日志的闪存恢复 |
| CN101329642A (zh) * | 2008-06-11 | 2008-12-24 | 华中科技大学 | 基于时间戳日志存储的连续数据保护和恢复方法 |
| CN101436207A (zh) * | 2008-12-16 | 2009-05-20 | 浪潮通信信息系统有限公司 | 一种基于日志快照的数据恢复和同步方法 |
| CN105740103A (zh) * | 2016-02-02 | 2016-07-06 | 厦门市美亚柏科信息股份有限公司 | 一种基于日志的ntfs删除文件恢复方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107748705A (zh) | 2018-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10438000B1 (en) | Using recognized backup images for recovery after a ransomware attack | |
| US10079842B1 (en) | Transparent volume based intrusion detection | |
| US10778246B2 (en) | Managing compression and storage of genomic data | |
| US10256981B2 (en) | Secure logging for host security module | |
| CN108446314B (zh) | 一种学生信息存储方法、计算机可读存储介质及终端设备 | |
| CN105095760A (zh) | 用于检测恶意软件的方法和系统 | |
| CN111258966A (zh) | 一种数据去重方法、装置、设备及存储介质 | |
| US10097569B2 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
| US8099397B2 (en) | Apparatus, system, and method for improved portable document format (“PDF”) document archiving | |
| US11989161B2 (en) | Generating readable, compressed event trace logs from raw event trace logs | |
| CN112163412A (zh) | 数据校验方法、装置、电子设备及存储介质 | |
| WO2021174836A1 (zh) | 差分包生成方法方法、装置、计算机设备及存储介质 | |
| US11601443B2 (en) | System and method for generating and storing forensics-specific metadata | |
| CN107748705B (zh) | 系统evt日志碎片恢复的方法、终端设备及存储介质 | |
| CN108121774B (zh) | 一种数据表备份方法及终端设备 | |
| CN109241163B (zh) | 电子凭证的生成方法及终端设备 | |
| CN112379835B (zh) | 一种oob区数据提取方法、终端设备及存储介质 | |
| CN111832018A (zh) | 病毒检测方法、装置、计算机装置及存储介质 | |
| CN111045983B (zh) | 核电站电子文件管理方法、装置、终端设备及介质 | |
| CN113141369A (zh) | 基于人工智能的防火墙策略管理方法及相关设备 | |
| CN111459937A (zh) | 数据表关联方法、装置、服务器及存储介质 | |
| CN112380174B (zh) | 含删除文件的xfs文件系统解析方法、终端设备及存储介质 | |
| CN112380171B (zh) | 一种yaffs文件系统oob识别方法、终端设备及存储介质 | |
| CN110851437A (zh) | 一种存储方法、装置及设备 | |
| CN111625186B (zh) | 数据处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |