时至今日,全盘加密是所有取证人员面临的一个最直接的挑战。当对全盘加密的计算机进行取证时,如果不先对加密磁盘进行解密,取证工作就无法进行。传统情况下,取证人员会取下硬盘,制作磁盘镜像,并以此为切入点进行进一步取证。我们如今发现了一种更快速、更便捷的方法,来找到破解全盘加密所需的关键信息,方法是从正开机运行的计算机内存中获取破解全盘加密所需的元数据。

何为此道?

这是一个全新的取证工作流程,可用于受全盘加密保护的计算机取证。一旦对系统分区进行了加密,除了暴力破解之外,就别无他法了。与传统的取证工作流程相比,Elcomsoft System Recovery有助于更快地启动密码破解,并通过提取系统的休眠文件(可能包含保护加密卷的动态加密密钥),在几分钟内提供破解加密磁盘的机会。

在对超极本、笔记本电脑和二合一Windows平板电脑设备(例如具有不可移动,焊接存储或非标准媒体的Microsoft Surface系列)进行取证时,这种全新的取证流程尤其方便。只需轻轻点击几下,取证人员就可以通过解密磁盘并提取到所需的所有信息。

Elcomsoft System Recovery提供了前所未有的安全性和兼容性。使用授权的Windows PE环境可以确保完全的硬件兼容性和对系统的引导支持,这些系统受到安全启动的保护。该工具通过严格的只读模式加载用户的存储介质,以确保取证的合规合法性。

使用Elcomsoft System Recovery制作启动盘

为了提取破解密码所需的信息,您需要加密卷的一小部分。您只需从Windows PE启动系统并运行Elcomsoft System Recovery,这是一个用于解锁Windows帐户和访问加密卷的工具。如果使用Windows PE制作启动盘对您来说听起来不是那么“快速”或“轻松”,请不要绝望:Elcomsoft System Recovery(可下载版本)只需点击几下即可为您制作一个。

  • 安装Elcomsoft System Recovery。

  • 插入一个空的闪存驱动器并启动该工具。

  • 选择目标驱动器并指定文件系统。

    注意:确保选择正确的分区方案。虽然FAT 32 MBR,BIOS适用于旧PC,但大多数具有安全启动功能的新计算机都需要FAT32 MBR,UEFIx64。某些配备以32位模式运行的64位处理器的设备(例如Lenovo ThinkPad 8)需要FAT32 MBR,UEFIx32分区。

  • 单击“格式化”。Elcomsoft System Recovery将创建一个可预装的闪存驱动器,预装和预配置Windows PE和ESR实用程序。


加密磁盘取证的两种方法
方法1:提取休眠文件以找到加密密钥

加密容器旨在抵御对其密码的暴力破解。此外,某些全盘加密方式根本不使用密码(例如Surface常用的BitLocker加密)。

由于暴力破解可能非常耗时,因此我们开发了实现变通解决方案的工具。

所有加密容器都具有相同的功能,同时也是一个安全漏洞。我们谈论的是即时加密密钥(OTFE密钥)。这些密钥是系统在正常操作期间用于加密和解密信息的实际二进制密钥。 密钥存储在系统的易失性存储器中,同时安装加密卷以便于对加密数据的读/写访问。可以直接从设备的内存中提取这些密钥(Elcomsoft Forensic Disk Decryptor),但超出了本文的范围。相反,我们来谈谈休眠状态。

当用户将计算机置于休眠状态(而不是将其关闭)时,Windows会将设备易失性内存的副本保存在计算机的硬盘驱动器或SSD驱动器上,以便保存的状态可以在断电后继续存在。与此同时,计算机的RAM芯片仍然通电以保留信息。如果在休眠期间没有切断电源,计算机将立即恢复。但是,如果断电(或耗尽电量),Windows将从硬盘驱动器加载已保存的RAM内容。存储计算机内存内容的文件称为休眠文件。Windows以“hiberfil.sys”的名称存储休眠文件。休眠文件已加密,但是我们能够破解这种加密。

您明白了吗?如果在安装加密分区时计算机处于休眠状态,则OTFE密钥可以直接存储在系统的休眠文件中。如果我们从闪存驱动器启动,我们可以获取休眠文件并使用它将OTFE密钥定位到计算机进入休眠状态时仍然挂载的所有加密卷。您需要Elcomsoft Forensic Disk Decryptor来提取OTFE密钥并使用它们来即时挂载或解密加密卷。

要提取系统的休眠文件,请执行以下操作:

  • 安装Elcomsoft System Recovery 6.0或更新版本到您的计算机(不是嫌疑人的计算机)。

  • 创建一个可启动的闪存驱动器。确保指定目标系统的正确配置(BIOS或UEFI、32位或64位)。由于休眠文件可能非常大,我们建议使用至少32GB的闪存。

  • 从您刚刚创建的闪存驱动器启动目标系统。

  • 一旦启动顺序完成,将启动Elcomsoft System Recovery。从以下窗口中,选择Disk tools(磁盘工具)。

  • 选择复制hiberfil.sys。整个休眠文件将被复制到已引导系统的闪存驱动器上,因此请确保该USB驱动器上有足够的空间。

  • 指定文件的存储位置。默认情况下,ESR会建议使用它启动的驱动器。如果该USB驱动器上没有足够的空间,则可以指定其他介质。

  • 您现在可以将休眠文件传输到计算机。 Elcomsoft Forensic Disk Decryptor提取OTFE密钥并使用它们即时挂载或解密加密卷。这个过程可能需要几分钟,特别是当休眠文件的大小很大时。如果在休眠文件中找不到加密密钥(如果加密卷配置为在休眠或休眠状态下自动卸载,则可能会发生加密密钥),您需要破解加密卷的密码。为了启动破解,您需要从加密卷中提取几KB的加密元数据。 

方法2:提取加密元数据和暴力破解密码

传统的取证方法需要拆卸计算机,移除并镜像所有存储设备。 但是,真正需要的密码只是一个几KB的加密元数据。 无需移除硬盘即可快速提取元数据。

Elcomsoft System Recovery允许已只读方式从计算机存储设备的便携式闪存驱动器中启动计算机,从而更快地开始调查取证。该工具可自动检测所有内置和可移动驱动器上的完整磁盘加密,并允许提取将原始密码暴力破解加密磁盘卷所需的加密元数据。由于加密容器在设计上对密码的破解速度极慢,因此我们建议使用Elcomsoft分布式密码恢复执行基于字典的分布式破解。

TrueCrupt?VeraCrypt?

由于TrueCrypt和VeraCrypt使用类似的格式,因此我们很难区分它们。不幸的是,这两种工具在破解加密方面有所不同,因此您必须先指定正确的工具才能启动密码破解。

此外,TrueCrypt和VeraCrypt都为用户提供了一系列加密算法的选择。每个算法可以选择性地配置不同的迭代次数(从密码生成OTFE密钥的散列操作的数量)。如果用户指定了非标准数量的哈希迭代,除非您知道该数字(或尝试所有可能的组合,这会大大增加破解时间),否则您将无法破解密码。

要提取加密元数据,请执行以下操作
  • 安装Elcomsoft System Recovery 6.0或更新版本到您的计算机(不是嫌疑人的计算机)。

  • 创建一个可启动的闪存驱动器。确保指定目标系统的正确配置(BIOS或UEFI、32位或64位)。一般来说,我们建议使用至少32GB的高速闪存。

  • 从您刚刚创建的闪存驱动器启动目标系统。

  • 一旦启动序列完成,将启动Elcomsoft System Recovery。从以下窗口中,选择Disk tools(磁盘工具)。

  • 选择复制驱动器加密密钥。


  • Elcomsoft System Recovery将自动检测所有固定和可移动驱动器上的全盘加密。

  • 您可以选择要处理的卷,例如,试试TrueCrypt/VeraCrypt卷。

  • 因为TrueCrypt和VeraCrypt卷使用相同的卷格式,所以我们无法自动区分这两者,您需要手动指定加密容器的类型。

  • TrueCrypt和VeraCrypt都允许使用不同的加密和哈希算法。如果您知道使用哪些加密和哈希算法来加密卷,请在下一步中指定它们。

  • 如果您对用户选择的加密算法和哈希算法有任何疑问,请将这些值保留为Unknown(未知)。 这会减慢破解速度,因为我们必须尝试多种组合; 但是,这仍然比指定错误的加密类型并且无法发现密码更好。

  • 完成对加密元数据的文件提取后,可将文件传输到Elcomsoft Distributed Password Recovery以恢复原始纯文本密码。请注意,即使使用强大的硬件,密码破解也可能需要很长时间。

  • 如果找到密码,您可以使用Elcomsoft Forensic Disk Decryptor挂载加密卷或将其解密以进行离线分析。


彩蛋:内存镜像

如果您正在进行在线系统实时分析,并且用户已登录,则还有另一种选择可通过内存镜像来提取OTFE密钥。为了获取内存镜像,您必须在用户正在运行的系统上运行Elcomsoft Forensic Disk Decryptor(所以请暂时忽略“只读”部分)。 用户必须已登录,并且该帐户必须具有管理员权限。

注意:在线系统分析有较高风险。虽然Elcomsoft System Recovery提供了只读操作,但在线系统分析正好相反。

要提取内存镜像,请将Elcomsoft Forensic Disk Decryptor安装到闪存驱动器上,将该闪存驱动器连接到目标系统并运行提取小工具。

内存镜像将被保存,请确保在闪存盘上指定正确的路径。

然后您可以将内存镜像传输到计算机上,并运行Elcomsoft Forensic Disk Decryptor来搜索OTFE密钥。

小结

虽然Elcomsoft System Recovery无法让您直接打开加密磁盘,但该工具提供了更快更好的替代解决方案,可以让您快速提取在线加密密钥以达到比使用传统方法更快速的解密目的。

原作者:Oleg Afonin

翻译:郑文鑫(D-Z

校对:王磊、董建华、吴凡、钟强生、潘高明

审核:皮浩(书记)


取证者联盟 一个专业的公众号

长按,识别二维码,加关注