数据取证：关于解密，ElcomSoft 移动设备与计算机综合解决方案

原创

已于 2025-01-15 16:16:45 修改 · 971 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#数据安全 #密码破解 #iOS密码破解 #数据取证 #数据恢复 #elcomsoft取证

于 2025-01-15 10:48:54 首次发布

关于密码

自密码保护发明以来，密码丢失一直是个问题，软件开发人员解决这个问题也有一段时间了。目前市场上有多种软件密码恢复解决方案。首先让我们来研究一下使用的不同类型的密码，以及在搜索密码时哪些额外信息可能有用。然后我们再来看看有些软件是用什么方法来解决密码丢失问题的。

一般来说，密码可以包括以下符号：26 个小写字母（a 到 z）、26 个大写字母（A 到 Z）、 10 个数字（0 到 9）和 33 个其他符号（！@#$%^ 等）--这样就有 95 个符号可以任意组合使用。在某些情况下，其他特殊符号被排除在外，这就减少了密码的可能变化。密码单词也可以有不同的长度，这在密码只能通过扫描识别、无法恢复或删除的情况下可能是一个关键因素。

此外，人类心理学知识实际上也可以在密码时提供很大帮助。尽管有许多旨在加强密码保护的限制措施（最短密码长度和定期更改密码），但许多用户仍无视基本的安全规则，再次证明了上文提到的 "最薄弱环节 "的动态性：人为因素。

大多数密码都是由用户母语或已知语言的文字和符号组成的。这些文字通常与用户的个人生活有某种联系：出生年份、宠物的名字、电话号码或银行卡号等。新密码可能只是对旧密码的细微修改。大多数用户都是这样处理更改密码的问题的，而公司的安全政策通常也要求更改密码。还有一点很重要：人们经常把密码清单放在办公桌上，或把密码存放在电脑上的一个单独文件中，这完全违背了密码保护的初衷。

因此，只要知道密码的基本要求（允许使用的符号和要求的长度），并对用户稍加了解，就能非常容易地确定未知密码。专门的密码恢复软件所使用的技术就涉及到这类信息的应用。

现有的破解方法

如今，利用软件搜索密码的主要方法包括：简单扫描、掩码扫描、字典攻击、加密密钥扫描（这里的变化可能比暴力扫描少）和所谓的彩虹攻击。在某些情况下，还会对文件进行其他类型的访问恢复，如所谓的明文攻击（基于已知内容）。让我们来详细了解一下这些方法。

暴力

暴力法非常简单：程序会尝试所有可能的符号组合，以找出正确的密码。搜索可以受到一些限制，例如指定密码中的符号数量、定义允许的符号类型（字母、数字、其他符号），甚至指定密码中的第一个符号。

使用暴力恢复丢失的密码需要多长时间？这完全取决于密码的长度、使用的不同符号、计算机的性能以及受密码保护的文件类型。

当然，也有可能密码很快就能被识别出来，而且不需要测试所有可能的组合。但你不应该指望它。如果使用普通电脑，可能真的需要数年时间。暴力法是最耗费人力的方法，因此我们建议只有在别无他法的情况下才采用这种方法。

掩码扫描

如果您是创建密码的人，那么通过大幅缩小搜索参数的范围，总有机会使用密码掩码恢复密码。您可能还记得密码单词的长度或密码中使用的特定符号。任何信息都会有所帮助。

例如，假设您知道自己只使用了数字和小写字母。这意味着你可以将其他特殊符号和大写字母排除在搜索范围之外。如果知道任何符号在密码中的位置，也会有所帮助。例如，如果知道密码中有 10 个符号，第一个符号是字母 "a"，最后四个符号是 2007，那么就可以输入 "a?????2007 "作为搜索模板。未知符号用问号表示。

使用掩码意味着软件将尝试更少的可能组合，这显然意味着找到正确密码所需的时间将减少。

不幸的是，很少有人知道密码的这些细节，这就是为什么用户往往无法使用掩码扫描的原因。

词典攻击

假设您掌握了一些关于密码中可能使用的单词或名称的信息。在这种情况下，您可以使用字典搜索。

事实上，用户经常在密码中使用一些常用词。通常，这些词包括"尤其是因为与字母和数字的随机组合相比，这种密码似乎更容易记住。事实上，忘记这类密码也同样容易；不过，这类密码相对容易恢复。

但是，从哪里可以获得这种词典（或者更准确地说，单词表）呢？它可能包含在软件程序中。还有就是网络以及用户自己编制的列表。

这些方法的优势显而易见。用户作为密码输入的单词列表非常有限，通常不会超过 10 万个。现代计算机处理 10 万个变体完全没有问题。这种方法应该在其他方法之前进行尝试--也许就会成功。

彩虹攻击

正如我们将看到的，恢复密码的最关键因素是需要多长时间。我们已经确定，使用简单的暴力扫描可以验证每一个可能的变体，但对于复杂的密码组合来说，这种方法太耗时了。如果需要花费数月或数年的时间才能想出密码，那么这种方法对大多数人来说都是不可行的。

这正是发明彩虹攻击的原因。这种方法基于使用预计算来搜索密码。这并不是第一次有人想到用预先计算和预先制作的查找表来代替耗费 CPU 资源的典型搜索。查找表适用于从内存中提取数据比创建数据容易得多的情况。

彩虹攻击使用的是针对特定符号序列预先计算出的潜在密码变化结果。在使用暴力破解一个密码所需的时间内，我们可以获得表格，从而以极高的概率从测试范围内找到任何密码，速度要快数千倍。

彩虹表的大小比一般查找表要小得多，从几兆字节减少到几千兆字节。彩虹表的缩小是通过恢复数据访问密码的简单方法白皮书 9 优化实现的。为了公平起见，应该说使用这种方法恢复密码所需的时间会增加，而密码识别的概率会降低，但结果是值得。例如，如果使用七位字母数字符号表（创建该表需要一周时间），彩虹攻击可以在 20-30 秒内帮助还原几乎所有由七位字母数字符号组成的密码。而直接输入不同的组合则需要 24 小时以上。优势显而易见。

由于编制这些表格会大大提高这些程序的价格，因此彩虹攻击主要应用于企业解决方案中。同样重要的是要记住，使用彩虹攻击恢复密码的概率比使用其他更常用的方法要低。但这就是速度的代价。

正确的选择

毫无疑问，购买快速找回密码的软件是有意义的--每个系统管理员都应该在自己的工具库中配备这种工具。

在市场上寻找密码恢复解决方案时，您应该注意什么？

首先，制造商宣称的密码恢复概率是多少？这是判断解决方案是否有效的关键标准之一，毕竟这才是你购买它的目的。成功几率取决于受密码保护文档类型和计算机性能。此外，用户正变得越来越谨慎，并正在创建更好的密码。您应该期望看到大约 80% 的成功率。不过，对于某些类型的密码和文档，软件开发商可能会保证 99% 的概率。

其次，确保查看产品支持的、应用程序版本、文件格式、语言支持和编码支持。很难预测什么版本的 Microsoft Word 或 Adobe Acrobat 会给你带来密码恢复难题，更不用说字符集了（比如汉字或阿拉伯文字