TrueCrypt加密之后的取证方法(广东公安科技)

转载 2016年06月02日 11:50:02
TrueCrypt加密之后的文件,目前没有好的办法破解,因此在调查取证的时候,可以考虑以下方法:
4.1 分析和检查是否有TrueCrypt加密之后的文件存在。
(a) TrueCrypt加密之后的文件没有固定的特征,如果加密者把这样的文件保存为常见格式的文件时,利用Encase、Winhex、取证大师等软件分析文件特征,对于不匹配的文件重点分析,进行排查是否为加密文件;
(b) 搜索系统所安装软件,包括历史安装记录,检查是否有安装TrueCrypt软件的
痕迹;
(c) 搜索大文件,作为加密容器,一般都存放着多个文件,因此,较大的文件可能性会比较大,不过也不排除特别重要的文件单独加密的可能。
4.2 TrueCrypt能设置双层加密,即在一个加密卷中再隐藏另一个加密卷,隐藏卷形象的来说就是“嵌套”在普通加密卷里边的。当用户被胁迫解密加密卷时,用户可以把隐藏加密卷的“外套”普通加密卷解密,透露一些无关紧要的信息,而真正的受保护的信息则隐藏在隐藏卷中,数据得以保护。加密卷的加载流程如下图所示: 2012-12-17 02:15 上传下载附件 (33.35 KB) 对于此类情况,首先要考虑是否能得到隐藏卷的密码,如果不能,应该把数据备份之后,用无用数据填充的方式覆盖普通卷空余的空间,可以把伪装在普通卷里面的数据破坏,让加密者自己也无法再恢复这些隐藏的数据。 4.3 TrueCrypt对数据的操作都是在内存(RAM)中进行,因此软件不确定是否在计算机的内存中保存有密码、主密钥和一些未加密的数据。而最新的研究成果显示,即使计算机关机后,内存保存的资料,包括加密程序的安全锁和口令仍未消失,最长可能达数分钟之久,透过冷冻计算机记忆芯片,还可延长内存暂存资料的时间,普林斯顿大学一班计算机保安专家组成的研究小组组长-计算机科学家费尔滕解释:只要以液态氮(摄氏-196度)冷冻计算机芯片,即使电源已中断,内存仍可保持状态至少数小时。然后将芯片安装回计算机,就可读取里面的资料。 4.4 在使用者机器上安装使用间谍或者监控程序,开机自动运行,利用键盘记录钩子记录TrueCrypt加载卷的密码。此外,还可以利用政策,社会工程学方法(如通过其他途径获得其他帐号密码或者其他方面的信息来分析加密文件的密码)等方式来获取密码,并注意是否可以获取隐藏卷的密码。 5 总结 TrueCrypt是全球著名的开源加密软件,有着安全、易用、功能强大等优点,也适用于可移动存储设备的加密。随着在国内应用的推广,对使用该软件加密之后的计算机数据的取证也变得越来越困难,因此有必要对这方面加强研究,总结规律,以提高取证的效率。
举报

相关文章推荐

黑科技遍地开花,公安实战如何大踏步发展?

近年来,人工智能、物联网、云计算及大数据这些新兴黑科技在安防界遍地开花,作为安防产业最龙头的公安领域,在实战应用上,又发生了怎样的发展和变化呢?

广东中涂联科技有限公司公司信仰

透过四周的重重夜幕   黑暗深不见底   我感谢那不知名的神祇   赐给我不可征服的灵魂   这些语句来自威廉·埃内斯特·亨利(William Ernest Henley)18...

我是如何成为一名python大咖的?

人生苦短,都说必须python,那么我分享下我是如何从小白成为Python资深开发者的吧。2014年我大学刚毕业..

面试经历---广东耶萨智能科技股份有限公司(2016年01月11日上午面试)

广东耶萨智能科技股份有限公司是一家做跨境玩具贸易的公司,约我2016年1月11日上午过去面试。 一、笔试题 1.   写出下述语句的结果 Int a=1,b=0;  System.out.p...

FBI也没辙?超强加密软件TrueCrypt全教程

许多网友在电脑中都有需要保密的文件,如工作文档、私人日记、照片等,经过XX门事件之后,相信各位网友都对自己电脑里的一些隐私文件的保存问题有了更高的安全要求。生活中却有许多的不安全因素会使得这些需要保密...

TrueCrypt 使用经验[2]:关于加密

★如何用好密码认证   用过电脑的同学,肯定对密码(口令)的使用非常熟悉了。所以俺就不用再解释基本概念了,只是重点聊一下密码认证的潜在风险和防范措施。 ◇对于加密盘,弱密码的危害更...

未发现后门:开源加密软件TrueCrypt安全审计结束

TrueCrypt是一款流行的开源文件加密软件,该软件用户包括大量的“敏感人士”(如商人、政要、记者),因此其安全性一直广受关注。 2014年5月,开源加密软件TrueCrypt突然在其官网上警...

Python写的组合密码生成脚本(针对TrueCrypt 加密磁盘密码搞忘了,用这个办法很有效)

一直喜欢用TrueCrypt这个开源的密盘程序,但时间久了,很多密码忘了,但依稀可以记得以前使用的密码元素,此时此刻也只有采用排列组合的方式,把所有可能的组合都组合出来,制作一个密码字典,然后使用破解...

使用ET199加密锁存储TrueCrypt的密钥文件

首先,当然是得准备一个空白的ET199加密锁,该锁质量上乘,价格便宜,非常适合个人使用。 T宝上出售的非常多,只需要注意一定要购买原厂正品。 对ET199锁进行操作,不需要其他的软件,仅需要访...

(2017.03.12更新)CnCrypt文件保险箱1.19,兼容TrueCrypt加密卷

您可以通过 CnCrypt文件保险箱,在电脑上新建一个私密空间,用来存放文件、视频等各种格式的数据资料。像家里的保险柜一样,您可以通过设定的保险箱密码打开它并进行使用。 保险箱为用户提供了真正的...

广东灏瀚科技icare3.0系统学习之旅---icare3.0用法字典的维护

首先,关于用法的设置有很多地方,例如门诊护士站配置的用法,收费出配置的用法带出设置等。今天学习的主要地方是门诊护士站用法的配置。 一、设置用法类别 以TS中医院为例,在门诊护士子菜单中,用...
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)