解密解密的TrueCrypt,Bitlocker和PGP容器和磁盘的取证工具
- 类别: 安全
保护数据可以做的一件事就是使用加密。您可以加密单个文件, 创建一个容器以将文件移入 要么 加密分区或磁盘 。加密的主要好处是访问数据需要密钥(通常是密码)。加密的基本形式是,如果您密码保护zip文件,则更高级的加密可以保护整个系统 包括操作系统分区 来自未经授权的用户。
尽管在设置过程中选择一个安全的密码很重要,以防止第三方成功猜出或强行使用该密码,但是要注意,可能还有其他方法可以访问数据。
Elcomsoft 刚刚发布了其取证磁盘解密器工具。该公司声明可以解密存储在PGP,Bitlocker和TrueCrypt磁盘和容器中的信息。需要注意的是,程序使用的一种方法需要本地访问系统。可以通过三种方式获取加密密钥:
- 通过分析休眠文件
- 通过分析内存转储文件
- 通过执行FireWire攻击
如果用户已经安装了容器或磁盘,则只能从休眠文件或内存转储中提取加密密钥。如果您有内存转储文件或休眠文件,则可以随时轻松地启动密钥搜索。请注意,您需要在此过程中选择正确的分区或加密的容器。
如果您无权访问休眠文件,则可以使用以下命令轻松创建内存转储 Windows内存工具包 。只需下载免费的社区版并运行以下命令:
- 打开提升的命令提示符。单击Windows键,键入cmd,右键单击结果,然后选择以管理员身份运行,即可执行此操作。
- 导航到将内存转储工具提取到的目录。
- 运行命令win64dd / m 0 / r / f x: dump mem.bin
- 如果您的操作系统是32位,请用win32dd替换win64dd。您可能还需要在最后更改路径。请记住,该文件将与计算机中安装的内存一样大。
之后运行取证工具,然后选择密钥提取选项。将其指向创建的内存转储文件,并等待直到处理完毕。之后,您应该会看到该程序正在向您显示密钥。
判决
如果您可以使用内存转储或休眠文件,则Elcomsoft的取证磁盘解密器可以很好地工作。所有攻击形式都需要本地访问系统。如果您忘记了主密钥,并且迫切需要访问数据,它可能是一个有用的工具。尽管它非常昂贵,但它的价格为299欧元,如果您正在使用休眠方式或具有在容器或磁盘安装在系统上时创建的内存转储文件,则这可能是检索密钥的最大希望。购买之前,请运行试用版以查看它是否可以检测到密钥。
您可以禁用休眠文件的创建,以保护系统免受此类攻击。尽管您仍然需要确保没有人可以创建内存转储文件或使用Firewire攻击来攻击系统,但它可以确保在不启动PC时没有人可以提取信息。