首页 云计算 服务器 大数据 存储 IT 安全 物联网 软件

存储

存储频道旗下栏目:

全盘加密又咋地!只要启动闪存,即可将其破解并提取其中的密码

来源:嘶吼   发布时间:2019-05-13
摘要:何为全盘加密 全盘加密(Full-disk encryption)对取证取证专家来说是个非常大的挑战。Android 的安全性问题一直备受关注,Google在Android系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。在Android的安全加密方面,加密分全

 何为全盘加密

全盘加密(Full-disk encryption)对取证取证专家来说是个非常大的挑战。Android 的安全性问题一直备受关注,Google在Android系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。在Android的安全加密方面,加密分全盘加密和文件级加密(Android 7.0 引入)全盘加密在 Android 4.4中引入,在Android 5.0中做了比较大的更新。本文论述的就是全盘加密,以及如何通过启动一个闪存(flash drive)来破解这种加密方式。

对于一般人来讲,全盘加密也许并不必要;然而,如果你需要处理像商业机密和不希望被其他人看见的隐私的话,那么全盘加密就显得很有必要了。

全盘加密的意义有以下两个:

1.淘汰旧计算机的时候,旧计算机硬盘上遗留的机密数据不会被有心人士挖掘出来并公之于众;

2.只要加密强度设置地足够高,无论是执法人员还是那些企图盗取数据的不法分子都无法获取他们想要的数据。

一旦被加密,如果没有被授权,就无法获取硬盘内的数据,即使是手机或计算机的生产者也不可以。

全盘加密在大部分的商业操作系统中都有应用,用户只需要选择打开这个功能,设置一个较强的密码或是词组就可以了。要访问设置全盘加密的手机或计算机,在打开设备后,启动时,会收到输入密码的用户提示。输入正确的密码后,系统中的加密程序就会被解锁,也就解锁了系统,就可以获得数据访问权限。

一些全盘加密程序可能会需要双重认证,在访问设备数据时,不仅需要输入密码,还需要插入一个智能读卡器,或者是输入一个由安全令牌产生的随机密码。

全盘加密程序与文件加密程序不同的是,后者只针对某个特定的文件进行加密,而全盘加密将会对系统内的所有数据都进行保护,包括操作系统。但全盘加密程序只会在设备关闭时开启保护功能。

当授权用户登录计算机时,就会解开加密程序,并将设备中的所有数据都暴漏在所有使用设备的人面前,除非用户对独立的文件夹都进行了加密。

但并不是所有的全盘加密工具都能确保数据百分之百的安全。全盘加密工具的安全性有多高还是要看开发者设计的程序是否可靠,一些使用弱加密系统的设备,或存在很大安全漏洞的设备也会给人一种“伪安全”的假象,很容易被破解。

破解的思路

在获取具有加密系统卷的计算机时,如果不首先对加密进行破解,则调查就无法进行。传统的操作是,直接删除硬盘驱动器,生成磁盘映像,然后通过映像来获取相关信息。不过,这种方法太过于粗暴,且效率低下。在本文中,我们会提供一种更快、更容易的方法来访问破解全盘系统加密所需的信息。大致的思路是这样的:通过启动闪存,然后暴力破解原始明文密码,将强行获取系统卷加密时所需的那些元数据。对于非系统卷,取证专家可以快速获取系统的休眠文件,以便稍后使用Elcomsoft取证磁盘解密器实时提取加密密钥。

这个取证流程的本质,就是访问存储在受全盘加密保护的计算机上的密码。一旦对系统分区进行了加密,除了破解加密之外,就别无他法了。与传统的获取密码的工作流程相比,Elcomsoft系统恢复工具(密码重设工具)有助于更快地启动密码恢复破解,并通过提取可能包含保护加密卷的动态加密密钥的系统休眠文件,在几分钟内完成加密卷的挂接。

这种新的取证流程,在分析ultrabook、笔记本计算机和二合一的Windows平板设备(如微软Surface range)时尤其方便。因为这些设备都具有不可移动、焊接存储或非标准介质的特性。通过这个思路,取证专家就可以提取对加密卷发起破解所需的所有信息。

Elcomsoft系统恢复工具提供了前所未有的安全性和兼容性,使用被授权的Windows PE环境可以确保完全的硬件兼容性和对系统的启动支持,这些系统均受到安全启动的保护。Elcomsoft系统恢复工具以严格的只读模式挂接用户的磁盘和存储介质,以确保取证取样。

使用Elcomsoft系统恢复工具制作一个可启动的Windows PE闪存

为了提取暴力破解原始密码所需的信息,你需要获取一小部分加密卷。你只需通过Windows PE闪存启动系统,然后运行Elcomsoft系统恢复工具一个(一个用于解锁Windows帐户和访问加密卷的工具)。你只需按着操作提示,轻点几下就可以制作一个可启动的Windows PE闪存。具体过程如下:

1.安装Elcomsoft系统恢复工具;

2.插入一个空的闪存并启动该工具;

全盘加密又咋地!只要启动闪存,即可将其破解并提取其中的密码

3. 选择目标驱动器并指定文件系统。注意:确保选择正确的分区方案。虽然FAT 32 MBR,BIOS适用于旧PC,但大多数具有安全启动功能的新计算机都需要FAT32 MBR,UEFIx64。而某些配备了32位模式运行的64位处理器的设备(例如Lenovo ThinkPad 8)需要FAT32 MBR,UEFIx32分区。

全盘加密又咋地!只要启动闪存,即可将其破解并提取其中的密码

4. 点击Format选项,Elcomsoft系统恢复工具将创建一个可启动的闪存,以及预装和预配置Windows PE和ESR实用程序。

全盘加密又咋地!只要启动闪存,即可将其破解并提取其中的密码

目前,有两种截然不同的方法可用于访问存储在加密卷中的密码。

方法1:通过提取休眠文件来访问加密密钥

密码容器的设计旨在抵御对其密码的暴力破解,此外,一些全盘加密方法根本不使用密码,例如BitLocker设备加密,这是二合一设备和超薄笔记本计算机(如Microsoft Surface range)最常用的加密方法。

由于暴力破解密码可能非常耗时,因此我们开发了一种更高效的工具。

我们破解的对象是即时加密密钥(OTFE密钥),所有加密容器中都包含它们。这些密钥是系统在正常操作期间用于加密和解密信息的实际二进制密钥,密钥始终存储在系统的易失性内存中,同时挂接加密卷以便于对加密数据的读/写访问。你可以使用Elcomsoft Forensic Disk Decryptor(EFDD解密工具) 直接从设备的内存中提取这些密钥,但是这不是本文要讲的。本文,我们只谈如何提取休眠文件。因为全盘加密只在用户未进入操作环境时,发挥作用。

当用户让计算机进入睡眠状态(而不是关机)时,Windows此时的默认行为就被称为混合睡眠(hybrid sleep)状态。在混合睡眠期间,Windows会将设备易失性内存的副本保存在计算机的硬盘驱动器或SSD驱动器上,以便保存的状态可以在断电后继续存在。与此同时,计算机的RAM芯片仍处于开机状态,以保存信息。如果在睡眠期间不切断电源,计算机将立即恢复运行。但是,如果出现断电(或电量耗尽),Windows将从硬盘驱动器加载保存的RAM内容。存储计算机内存内容的文件称为休眠文件,Windows以“hiberfil.sys”的名称存储休眠文件。此时休眠文件已经被加密,我们要破解的就是这种被加密的休眠文件。

相关阅读