TrueCrypt加密之后的取证方法(广东公安科技)

转载 2016年06月02日 11:50:02
TrueCrypt加密之后的文件,目前没有好的办法破解,因此在调查取证的时候,可以考虑以下方法:
4.1 分析和检查是否有TrueCrypt加密之后的文件存在。
(a) TrueCrypt加密之后的文件没有固定的特征,如果加密者把这样的文件保存为常见格式的文件时,利用Encase、Winhex、取证大师等软件分析文件特征,对于不匹配的文件重点分析,进行排查是否为加密文件;
(b) 搜索系统所安装软件,包括历史安装记录,检查是否有安装TrueCrypt软件的
痕迹;
(c) 搜索大文件,作为加密容器,一般都存放着多个文件,因此,较大的文件可能性会比较大,不过也不排除特别重要的文件单独加密的可能。
4.2 TrueCrypt能设置双层加密,即在一个加密卷中再隐藏另一个加密卷,隐藏卷形象的来说就是“嵌套”在普通加密卷里边的。当用户被胁迫解密加密卷时,用户可以把隐藏加密卷的“外套”普通加密卷解密,透露一些无关紧要的信息,而真正的受保护的信息则隐藏在隐藏卷中,数据得以保护。加密卷的加载流程如下图所示: 2012-12-17 02:15 上传下载附件 (33.35 KB) 对于此类情况,首先要考虑是否能得到隐藏卷的密码,如果不能,应该把数据备份之后,用无用数据填充的方式覆盖普通卷空余的空间,可以把伪装在普通卷里面的数据破坏,让加密者自己也无法再恢复这些隐藏的数据。 4.3 TrueCrypt对数据的操作都是在内存(RAM)中进行,因此软件不确定是否在计算机的内存中保存有密码、主密钥和一些未加密的数据。而最新的研究成果显示,即使计算机关机后,内存保存的资料,包括加密程序的安全锁和口令仍未消失,最长可能达数分钟之久,透过冷冻计算机记忆芯片,还可延长内存暂存资料的时间,普林斯顿大学一班计算机保安专家组成的研究小组组长-计算机科学家费尔滕解释:只要以液态氮(摄氏-196度)冷冻计算机芯片,即使电源已中断,内存仍可保持状态至少数小时。然后将芯片安装回计算机,就可读取里面的资料。 4.4 在使用者机器上安装使用间谍或者监控程序,开机自动运行,利用键盘记录钩子记录TrueCrypt加载卷的密码。此外,还可以利用政策,社会工程学方法(如通过其他途径获得其他帐号密码或者其他方面的信息来分析加密文件的密码)等方式来获取密码,并注意是否可以获取隐藏卷的密码。 5 总结 TrueCrypt是全球著名的开源加密软件,有着安全、易用、功能强大等优点,也适用于可移动存储设备的加密。随着在国内应用的推广,对使用该软件加密之后的计算机数据的取证也变得越来越困难,因此有必要对这方面加强研究,总结规律,以提高取证的效率。

相关文章推荐

TrueCrypt中文版怎么用?TrueCrypt使用方法及详细教程介绍

每个人都有见得人的文件,呵呵。也许是你的日记,也许是你的公司绝密文件,也许是你的私人照片,也许是一些乱七八糟的影片…… 这些都是你的隐私。但是这些隐私需要满足下列条件: 1、不让其他人非法打开; ...
  • cncrypt
  • cncrypt
  • 2016年06月02日 11:38
  • 1014

亲测解决Chrome浏览器“Adobe Flash Player 因过期而遭到阻止”的方法

解决Chrome浏览器“Adobe Flash Player 因过期而遭到阻止”的方法
  • xjun0812
  • xjun0812
  • 2017年04月10日 10:52
  • 24284

TrueCrypt加密之后的取证方法(广东公安科技)

以下内容来自《广东公安科技》2011年4月,TrueCrypt加密之后的取证方法。全文见附件。 TrueCrypt加密之后的文件,目前没有好的办法破解,因此在调查取证的时候,可以考虑以下...

黑科技遍地开花,公安实战如何大踏步发展?

近年来,人工智能、物联网、云计算及大数据这些新兴黑科技在安防界遍地开花,作为安防产业最龙头的公安领域,在实战应用上,又发生了怎样的发展和变化呢?...

(2017.03.12更新)CnCrypt文件保险箱1.19,兼容TrueCrypt加密卷

您可以通过 CnCrypt文件保险箱,在电脑上新建一个私密空间,用来存放文件、视频等各种格式的数据资料。像家里的保险柜一样,您可以通过设定的保险箱密码打开它并进行使用。 保险箱为用户提供了真正的...
  • cncrypt
  • cncrypt
  • 2017年03月12日 18:07
  • 571

广东中涂联科技有限公司公司信仰

透过四周的重重夜幕   黑暗深不见底   我感谢那不知名的神祇   赐给我不可征服的灵魂   这些语句来自威廉·埃内斯特·亨利(William Ernest Henley)18...

面试经历---广东耶萨智能科技股份有限公司(2016年01月11日上午面试)

广东耶萨智能科技股份有限公司是一家做跨境玩具贸易的公司,约我2016年1月11日上午过去面试。 一、笔试题 1.   写出下述语句的结果 Int a=1,b=0;  System.out.p...
  • brushli
  • brushli
  • 2016年01月13日 00:21
  • 1785

拳拳赤子心 依依母校情 ——访优秀校友广东蓝凌科技公司总经理杨健伟

拳拳赤子心 依依母校情 ——访优秀校友广东蓝凌科技公司总经理杨健伟 作者:01新闻/ 周慧丽   “蓝凌”,一个充满梦幻的名字,在短短的7年间,这个仅有十几人的电脑公...

未发现后门:开源加密软件TrueCrypt安全审计结束

TrueCrypt是一款流行的开源文件加密软件,该软件用户包括大量的“敏感人士”(如商人、政要、记者),因此其安全性一直广受关注。 2014年5月,开源加密软件TrueCrypt突然在其官网上警...
  • cncrypt
  • cncrypt
  • 2016年06月02日 12:07
  • 644

Python写的组合密码生成脚本(针对TrueCrypt 加密磁盘密码搞忘了,用这个办法很有效)

一直喜欢用TrueCrypt这个开源的密盘程序,但时间久了,很多密码忘了,但依稀可以记得以前使用的密码元素,此时此刻也只有采用排列组合的方式,把所有可能的组合都组合出来,制作一个密码字典,然后使用破解...
  • fftt516
  • fftt516
  • 2017年06月28日 08:26
  • 55
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:TrueCrypt加密之后的取证方法(广东公安科技)
举报原因:
原因补充:

(最多只允许输入30个字)