何為全盤(pán)加密

全盤(pán)加密（Full-disk encryption）對(duì)取證取證專家來(lái)說(shuō)是個(gè)非常大的挑戰(zhàn)。Android 的安全性問(wèn)題一直備受關(guān)注，Google在Android系統(tǒng)的安全方面也是一直沒(méi)有停止過(guò)更新，努力做到更加安全的手機(jī)移動(dòng)操作系統(tǒng)。在Android的安全加密方面，加密分全盤(pán)加密和文件級(jí)加密（Android 7.0 引入）全盤(pán)加密在 Android 4.4中引入，在Android 5.0中做了比較大的更新。本文論述的就是全盤(pán)加密，以及如何通過(guò)啟動(dòng)一個(gè)閃存(flash drive)來(lái)破解這種加密方式。

[[264959]]

對(duì)于一般人來(lái)講，全盤(pán)加密也許并不必要；然而，如果你需要處理像商業(yè)機(jī)密和不希望被其他人看見(jiàn)的隱私的話，那么全盤(pán)加密就顯得很有必要了。

全盤(pán)加密的意義有以下兩個(gè)：

1.淘汰舊計(jì)算機(jī)的時(shí)候，舊計(jì)算機(jī)硬盤(pán)上遺留的機(jī)密數(shù)據(jù)不會(huì)被有心人士挖掘出來(lái)并公之于眾；

2.只要加密強(qiáng)度設(shè)置地足夠高，無(wú)論是執(zhí)法人員還是那些企圖盜取數(shù)據(jù)的不法分子都無(wú)法獲取他們想要的數(shù)據(jù)。

一旦被加密，如果沒(méi)有被授權(quán)，就無(wú)法獲取硬盤(pán)內(nèi)的數(shù)據(jù)，即使是手機(jī)或計(jì)算機(jī)的生產(chǎn)者也不可以。

全盤(pán)加密在大部分的商業(yè)操作系統(tǒng)中都有應(yīng)用，用戶只需要選擇打開(kāi)這個(gè)功能，設(shè)置一個(gè)較強(qiáng)的密碼或是詞組就可以了。要訪問(wèn)設(shè)置全盤(pán)加密的手機(jī)或計(jì)算機(jī)，在打開(kāi)設(shè)備后，啟動(dòng)時(shí)，會(huì)收到輸入密碼的用戶提示。輸入正確的密碼后，系統(tǒng)中的加密程序就會(huì)被解鎖，也就解鎖了系統(tǒng)，就可以獲得數(shù)據(jù)訪問(wèn)權(quán)限。

一些全盤(pán)加密程序可能會(huì)需要雙重認(rèn)證，在訪問(wèn)設(shè)備數(shù)據(jù)時(shí)，不僅需要輸入密碼，還需要插入一個(gè)智能讀卡器，或者是輸入一個(gè)由安全令牌產(chǎn)生的隨機(jī)密碼。

全盤(pán)加密程序與文件加密程序不同的是，后者只針對(duì)某個(gè)特定的文件進(jìn)行加密，而全盤(pán)加密將會(huì)對(duì)系統(tǒng)內(nèi)的所有數(shù)據(jù)都進(jìn)行保護(hù)，包括操作系統(tǒng)。但全盤(pán)加密程序只會(huì)在設(shè)備關(guān)閉時(shí)開(kāi)啟保護(hù)功能。

當(dāng)授權(quán)用戶登錄計(jì)算機(jī)時(shí)，就會(huì)解開(kāi)加密程序，并將設(shè)備中的所有數(shù)據(jù)都暴漏在所有使用設(shè)備的人面前，除非用戶對(duì)獨(dú)立的文件夾都進(jìn)行了加密。

但并不是所有的全盤(pán)加密工具都能確保數(shù)據(jù)***的安全。全盤(pán)加密工具的安全性有多高還是要看開(kāi)發(fā)者設(shè)計(jì)的程序是否可靠，一些使用弱加密系統(tǒng)的設(shè)備，或存在很大安全漏洞的設(shè)備也會(huì)給人一種“偽安全”的假象，很容易被破解。

破解的思路

在獲取具有加密系統(tǒng)卷的計(jì)算機(jī)時(shí)，如果不首先對(duì)加密進(jìn)行破解，則調(diào)查就無(wú)法進(jìn)行。傳統(tǒng)的操作是，直接刪除硬盤(pán)驅(qū)動(dòng)器，生成磁盤(pán)映像，然后通過(guò)映像來(lái)獲取相關(guān)信息。不過(guò)，這種方法太過(guò)于粗暴，且效率低下。在本文中，我們會(huì)提供一種更快、更容易的方法來(lái)訪問(wèn)破解全盤(pán)系統(tǒng)加密所需的信息。大致的思路是這樣的：通過(guò)啟動(dòng)閃存，然后暴力破解原始明文密碼，將強(qiáng)行獲取系統(tǒng)卷加密時(shí)所需的那些元數(shù)據(jù)。對(duì)于非系統(tǒng)卷，取證專家可以快速獲取系統(tǒng)的休眠文件，以便稍后使用Elcomsoft取證磁盤(pán)解密器實(shí)時(shí)提取加密密鑰。

這個(gè)取證流程的本質(zhì)，就是訪問(wèn)存儲(chǔ)在受全盤(pán)加密保護(hù)的計(jì)算機(jī)上的密碼。一旦對(duì)系統(tǒng)分區(qū)進(jìn)行了加密，除了破解加密之外，就別無(wú)他法了。與傳統(tǒng)的獲取密碼的工作流程相比，Elcomsoft系統(tǒng)恢復(fù)工具（密碼重設(shè)工具）有助于更快地啟動(dòng)密碼恢復(fù)破解，并通過(guò)提取可能包含保護(hù)加密卷的動(dòng)態(tài)加密密鑰的系統(tǒng)休眠文件，在幾分鐘內(nèi)完成加密卷的掛接。

這種新的取證流程，在分析ultrabook、筆記本計(jì)算機(jī)和二合一的Windows平板設(shè)備(如微軟Surface range)時(shí)尤其方便。因?yàn)檫@些設(shè)備都具有不可移動(dòng)、焊接存儲(chǔ)或非標(biāo)準(zhǔn)介質(zhì)的特性。通過(guò)這個(gè)思路，取證專家就可以提取對(duì)加密卷發(fā)起破解所需的所有信息。

Elcomsoft系統(tǒng)恢復(fù)工具提供了***的安全性和兼容性，使用被授權(quán)的Windows PE環(huán)境可以確保完全的硬件兼容性和對(duì)系統(tǒng)的啟動(dòng)支持，這些系統(tǒng)均受到安全啟動(dòng)的保護(hù)。Elcomsoft系統(tǒng)恢復(fù)工具以嚴(yán)格的只讀模式掛接用戶的磁盤(pán)和存儲(chǔ)介質(zhì)，以確保取證取樣。

使用Elcomsoft系統(tǒng)恢復(fù)工具制作一個(gè)可啟動(dòng)的Windows PE閃存

為了提取暴力破解原始密碼所需的信息，你需要獲取一小部分加密卷。你只需通過(guò)Windows PE閃存啟動(dòng)系統(tǒng)，然后運(yùn)行Elcomsoft系統(tǒng)恢復(fù)工具一個(gè)（一個(gè)用于解鎖Windows帳戶和訪問(wèn)加密卷的工具）。你只需按著操作提示，輕點(diǎn)幾下就可以制作一個(gè)可啟動(dòng)的Windows PE閃存。具體過(guò)程如下：

1.安裝Elcomsoft系統(tǒng)恢復(fù)工具；

2.插入一個(gè)空的閃存并啟動(dòng)該工具；

全盤(pán)加密又咋地！只要啟動(dòng)閃存，即可將其破解并提取其中的密碼

3. 選擇目標(biāo)驅(qū)動(dòng)器并指定文件系統(tǒng)。注意：確保選擇正確的分區(qū)方案。雖然FAT 32 MBR，BIOS適用于舊PC，但大多數(shù)具有安全啟動(dòng)功能的新計(jì)算機(jī)都需要FAT32 MBR，UEFIx64。而某些配備了32位模式運(yùn)行的64位處理器的設(shè)備（例如Lenovo ThinkPad 8）需要FAT32 MBR，UEFIx32分區(qū)。

全盤(pán)加密又咋地！只要啟動(dòng)閃存，即可將其破解并提取其中的密碼

4. 點(diǎn)擊Format選項(xiàng)，Elcomsoft系統(tǒng)恢復(fù)工具將創(chuàng)建一個(gè)可啟動(dòng)的閃存，以及預(yù)裝和預(yù)配置Windows PE和ESR實(shí)用程序。

全盤(pán)加密又咋地！只要啟動(dòng)閃存，即可將其破解并提取其中的密碼

目前，有兩種截然不同的方法可用于訪問(wèn)存儲(chǔ)在加密卷中的密碼。

方法1：通過(guò)提取休眠文件來(lái)訪問(wèn)加密密鑰

密碼容器的設(shè)計(jì)旨在抵御對(duì)其密碼的暴力破解，此外，一些全盤(pán)加密方法根本不使用密碼，例如BitLocker設(shè)備加密，這是二合一設(shè)備和超薄筆記本計(jì)算機(jī)(如Microsoft Surface range)最常用的加密方法。

由于暴力破解密碼可能非常耗時(shí)，因此我們開(kāi)發(fā)了一種更高效的工具。

我們破解的對(duì)象是即時(shí)加密密鑰（OTFE密鑰），所有加密容器中都包含它們。這些密鑰是系統(tǒng)在正常操作期間用于加密和解密信息的實(shí)際二進(jìn)制密鑰，密鑰始終存儲(chǔ)在系統(tǒng)的易失性內(nèi)存中，同時(shí)掛接加密卷以便于對(duì)加密數(shù)據(jù)的讀/寫(xiě)訪問(wèn)。你可以使用Elcomsoft Forensic Disk Decryptor(EFDD解密工具) 直接從設(shè)備的內(nèi)存中提取這些密鑰，但是這不是本文要講的。本文，我們只談如何提取休眠文件。因?yàn)槿P(pán)加密只在用戶未進(jìn)入操作環(huán)境時(shí)，發(fā)揮作用。

當(dāng)用戶讓計(jì)算機(jī)進(jìn)入睡眠狀態(tài)(而不是關(guān)機(jī))時(shí)，Windows此時(shí)的默認(rèn)行為就被稱為混合睡眠（hybrid sleep）狀態(tài)。在混合睡眠期間，Windows會(huì)將設(shè)備易失性內(nèi)存的副本保存在計(jì)算機(jī)的硬盤(pán)驅(qū)動(dòng)器或SSD驅(qū)動(dòng)器上，以便保存的狀態(tài)可以在斷電后繼續(xù)存在。與此同時(shí)，計(jì)算機(jī)的RAM芯片仍處于開(kāi)機(jī)狀態(tài)，以保存信息。如果在睡眠期間不切斷電源，計(jì)算機(jī)將立即恢復(fù)運(yùn)行。但是，如果出現(xiàn)斷電(或電量耗盡)，Windows將從硬盤(pán)驅(qū)動(dòng)器加載保存的RAM內(nèi)容。存儲(chǔ)計(jì)算機(jī)內(nèi)存內(nèi)容的文件稱為休眠文件，Windows以“hiberfil.sys”的名稱存儲(chǔ)休眠文件。此時(shí)休眠文件已經(jīng)被加密，我們要破解的就是這種被加密的休眠文件。

如果計(jì)算機(jī)在掛接加密分區(qū)時(shí)處于休眠狀態(tài)，則OTFE密鑰可以直接存儲(chǔ)在系統(tǒng)的休眠文件中。如果通過(guò)閃存啟動(dòng)，我們可以獲得休眠文件，并使用它來(lái)定位所有加密卷的OTFE密鑰，這些卷在計(jì)算機(jī)進(jìn)入休眠狀態(tài)時(shí)仍然掛接。此時(shí)，你將需要Elcomsoft取證磁盤(pán)解密器來(lái)提取OTFE密鑰，并使用它們來(lái)立即掛接或解密加密卷。

要提取系統(tǒng)的休眠文件，請(qǐng)執(zhí)行以下操作：

1.安裝Elcomsoft系統(tǒng)恢復(fù)工具 6.0工具或更新到***版本；

2.創(chuàng)建一個(gè)可啟動(dòng)的閃存，確保指定目標(biāo)系統(tǒng)的正確配置(BIOS或UEFI、32位或64位)。由于休眠文件可能非常大，我們建議使用至少32GB的閃存。

3.在你剛剛創(chuàng)建的閃存中啟動(dòng)目標(biāo)系統(tǒng)；

4. 啟動(dòng)完成后， Elcomsoft系統(tǒng)恢復(fù)工具將啟動(dòng)。在以下窗口中，選擇“磁盤(pán)工具”。

5.選擇復(fù)制hiberfil.sys文件，整個(gè)休眠文件將被復(fù)制到已啟動(dòng)的系統(tǒng)的閃存上，所以要確保USB驅(qū)動(dòng)器上有足夠的空間。

6.指定文件應(yīng)該存儲(chǔ)的位置，默認(rèn)情況下，ESR會(huì)建議使用啟動(dòng)它的驅(qū)動(dòng)器。如果u盤(pán)上沒(méi)有足夠的空間，可以指定其他介質(zhì)。

7.你現(xiàn)在可以將休眠文件傳輸?shù)侥愕挠?jì)算機(jī)，Elcomsoft取證磁盤(pán)解密器會(huì)提取OTFE密鑰，并使用它們立即掛接或解密加密卷。這個(gè)過(guò)程可能需要幾分鐘，特別是當(dāng)休眠文件的大小很大時(shí)，需要的時(shí)間會(huì)更長(zhǎng)。

如果在休眠文件中沒(méi)有找到加密密鑰(如果將加密卷配置為在休眠或休眠時(shí)自動(dòng)刪除，可能會(huì)發(fā)生這種情況)，則需要破解加密卷的密碼。為了破解，你需要從加密卷中提取幾千字節(jié)的加密元數(shù)據(jù)。

方法2：提取加密元數(shù)據(jù)并暴力破解密碼

傳統(tǒng)的獲取方法是需要先將計(jì)算機(jī)進(jìn)行拆卸，移除并映像所有存儲(chǔ)設(shè)備。看似動(dòng)靜很大，其實(shí)最終的目的只是破解含有幾千字節(jié)的加密元數(shù)據(jù)?，F(xiàn)在的這個(gè)方法，就是讓你在不拆卸硬盤(pán)驅(qū)動(dòng)器的情況下，更高效地提取元數(shù)據(jù)。

Elcomsoft系統(tǒng)恢復(fù)工具允許取證者通過(guò)只讀訪問(wèn)計(jì)算機(jī)存儲(chǔ)設(shè)備的便攜式閃存啟動(dòng)計(jì)算機(jī)，從而更快地開(kāi)始取證。該工具會(huì)自動(dòng)檢測(cè)所有內(nèi)置和可移動(dòng)驅(qū)動(dòng)器上的全加密盤(pán)，并允許提取位于加密卷中的已經(jīng)暴力破解的加密元數(shù)據(jù)。由于密碼容器的設(shè)計(jì)使得對(duì)密碼的破解極其緩慢，在此，我們建議使Elcomsoft Distributed Password Recovery工具執(zhí)行基于字典的分布式破解。ElcomSoft Distributed Password Recovery 是一款俄羅斯安全公司出品的分布式密碼暴力破解工具，能夠利用Nvidia顯卡使WPA和WPA2無(wú)線密鑰破解速度提高100倍，而且軟件還允許數(shù)千臺(tái)計(jì)算機(jī)聯(lián)網(wǎng)進(jìn)行分布式并行計(jì)算。

開(kāi)啟密碼破解的正確姿勢(shì)，是使用TrueCrypt還是VeraCrypt?

TrueCrypt，是一款免費(fèi)開(kāi)源的加密軟件，同時(shí)支持Windows Vista,7/XP, Mac OS X, Linux 等操作系統(tǒng)。TrueCrypt不需要生成任何文件即可在硬盤(pán)上建立虛擬磁盤(pán)，用戶可以按照盤(pán)符進(jìn)行訪問(wèn)，所有虛擬磁盤(pán)上的文件都被自動(dòng)加密，需要通過(guò)密碼來(lái)進(jìn)行訪問(wèn)。目前TrueCrypt的研發(fā)者已經(jīng)停止了對(duì)此工具的開(kāi)發(fā)工作。

VeraCrypt，是一款免費(fèi)開(kāi)源跨平臺(tái)的實(shí)時(shí)磁盤(pán)文件加密工具，它是基于知名的開(kāi)源加密工具 TrueCrypt 項(xiàng)目衍生而來(lái)。由于之前 TrueCrypt 已在官網(wǎng)上宣布其自身不安全并已停止開(kāi)發(fā)了，因此現(xiàn)在比較活躍、而且同樣是開(kāi)源跨平臺(tái)的 VeraCrypt 順理成章成為大家公認(rèn)的***文件加密工具新選擇之一

因?yàn)門(mén)rueCrypt和VeraCrypt容器使用類(lèi)似的加密格式，所以我們無(wú)法將它們區(qū)分開(kāi)來(lái)。不過(guò)，這兩種工具在破解加密時(shí)有所不同，因此你必須先選擇正確的破解工具才能開(kāi)啟密碼破解過(guò)程。

此外，TrueCrypt和VeraCrypt都為用戶提供了多種加密算法的選擇。每個(gè)算法都可以按著用戶的選擇配置不同的迭代次數(shù)(從密碼生成OTFE密鑰的哈希操作的次數(shù))。如果用戶指定了非標(biāo)準(zhǔn)的哈希迭代次數(shù)，那么除非你知道該次數(shù)或者嘗試所有可能的組合，否則無(wú)法破解密碼。就算破解成功，也是一個(gè)耗時(shí)耗力的過(guò)程。

要提取加密元數(shù)據(jù)，請(qǐng)執(zhí)行以下操作。

1.安裝Elcomsoft系統(tǒng)恢復(fù)工具 6.0或更新到***版本；

2.創(chuàng)建一個(gè)可啟動(dòng)的閃存，確保指定目標(biāo)系統(tǒng)的正確配置(BIOS或UEFI、32位或64位)。一般來(lái)說(shuō)，我們建議使用至少32GB的高速閃存；

3.從你剛剛創(chuàng)建的閃存啟動(dòng)目標(biāo)系統(tǒng)；

4.一旦啟動(dòng)開(kāi)始， Elcomsoft系統(tǒng)恢復(fù)工具也要立即啟動(dòng)。在下面的窗口中，選擇“磁盤(pán)工具”；

5.選擇復(fù)制驅(qū)動(dòng)器加密密鑰；

6.Elcomsoft系統(tǒng)恢復(fù)工具將自動(dòng)檢測(cè)所有固定和可移動(dòng)驅(qū)動(dòng)器上的全盤(pán)加密卷；

7.你可以選擇要處理的卷，例如，試試以下的TrueCrypt/VeraCrypt卷:

8.因?yàn)門(mén)rueCrypt和VeraCrypt卷使用相同的卷格式，所以不能自動(dòng)區(qū)分它們，此時(shí)你將需要手動(dòng)指定加密容器的類(lèi)型；

9.TrueCrypt和VeraCrypt都允許使用不同的加密和哈希算法，如果你知道使用哪些加密和哈希算法來(lái)加密卷，請(qǐng)?jiān)谙乱徊街兄付ㄋ鼈儭?/p>

10.但是，如果你對(duì)用戶選擇的加密算法和哈希算法有懷疑，請(qǐng)將這些值保留為“Unknown”。因?yàn)槲覀儽仨殗L試多種組合，這會(huì)減慢破解密碼的速度。但是，這仍然比指定錯(cuò)誤的加密類(lèi)型，并最終造成密碼破解失敗要好得多。

11. 完成轉(zhuǎn)儲(chǔ)加密元數(shù)據(jù)后，將文件傳輸?shù)紼lcomsoft分布式密碼恢復(fù)工具以恢復(fù)原始明文密碼。注意，即使使用功能強(qiáng)大的硬件，密碼破解也可能會(huì)花費(fèi)大量時(shí)間。

如果找到密碼，則可以掛接加密卷，或者使用Elcomsoft取證磁盤(pán)解密器對(duì)其解密，以便進(jìn)行脫機(jī)分析。

內(nèi)存轉(zhuǎn)儲(chǔ)

如果你正在分析一個(gè)正在運(yùn)行中的系統(tǒng)，并且用戶已經(jīng)登錄，那么你還可以通過(guò)進(jìn)行易失性內(nèi)存轉(zhuǎn)儲(chǔ)來(lái)捕獲OTFE密鑰。為了捕獲RAM映像，你必須在用戶正在運(yùn)行的系統(tǒng)上運(yùn)行Elcomsoft取證磁盤(pán)解密器(不要考慮“只讀”部分)。此時(shí)，用戶必須已登錄，并且該帳戶必須具有管理權(quán)限。

注意：實(shí)時(shí)系統(tǒng)分析是危險(xiǎn)的， 因?yàn)镋lcomsoft系統(tǒng)恢復(fù)工具只提供了只讀操作。

要捕獲內(nèi)存轉(zhuǎn)儲(chǔ)，請(qǐng)將Elcomsoft取證磁盤(pán)解密器安裝到閃存上，將該閃存連接到目標(biāo)系統(tǒng)并運(yùn)行小型捕獲工具。

內(nèi)存轉(zhuǎn)儲(chǔ)被保存后，確保在閃存上指定正確的路徑。

現(xiàn)在，你可以將內(nèi)存轉(zhuǎn)儲(chǔ)轉(zhuǎn)移到自己的計(jì)算機(jī)上，并運(yùn)行Elcomsoft取證磁盤(pán)解密器來(lái)搜索OTFE密鑰。

總結(jié)

Elcomsoft系統(tǒng)恢復(fù)工具雖然不會(huì)讓你直接進(jìn)入加密卷，但是該工具提供了一個(gè)比其他方式更快的方式，允許你高效地從中提取信息，這比使用傳統(tǒng)方法能更快地提取加密密鑰或破解密碼。