TrueCrypt加密容器快速检测技术

TrueCrypt作为目前较为流行的免费开源加密软件之一,在不同平台上得到了广泛的应用。取证过程中经常要对磁盘中的加密文件检测以便进行进一步的解密分析,但由于TrueCrypt加密容器在解密之前不具备任何的签名、结构等特征,因此TrueCrypt加密容器的检测成为了取证过程中的一个难点。目前,还没有精确的TrueCrypt加密容器的检测方法,现有的检测技术主要是通过签名排除结合文件大小信息进行检测。文章在现有检测技术的基础上结合了卡方检验以及信息熵的理论方法,提出了一种TrueCrypt加密容器快速检测技术。该技术不仅能够快速的检测加密容器,而且和现有的检测方法相比检测精确度更高。     

HFS+删除文件恢复技术

随着MAC OS的广泛使用,MAC OS的取证技术得到了取证专家的高度重视。删除文件恢复技术一直是取证技术中的一项重要内容,HFS+文件系统作为目前MAC OS的主流文件系统,其删除文件的恢复技术更是数据恢复专家研究的重点。目前,HFS+删除文件的恢复主要是日志型数据的恢复,即基于日志中存储的B树中的叶子节点信息进行恢复。该方法具有快速、精确的特点。但是,该方法忽略了日志中存储的索引节点信息,因此恢复效果不是很理想。文章提出了一种快速、精确的HFS+删除文件的恢复技术,该技术不仅可以快速地恢复出被删除的文件,并且和现有的从日志中进行恢复的算法相比还可以恢复出更多的删除文件。     

Windows下LVM被删除逻辑卷的数据恢复

为解决Linux系统中带有LVM(Logical Volume Manager)逻辑卷管理机制被误删除的逻辑卷不能恢复问题,该文提出一种在Windows下恢复被删除逻辑卷[4]的方法。该方法通过对Linux硬盘分区上相关信息和LVM存储机制特征分析获取LVM的元数据信息,在Windows系统中构建一个虚拟的逻辑卷分区,并将从元数据区获取到的存储信息地址和虚拟卷中的存储地址对应起来,从而达到恢复逻辑卷效果。     

FileVault2加密分区离线解密技术及其取证应用

苹果公司推出OS X 10.3（Panther）系统时,引入了FileVault磁盘加密功能。在最新发布的OS X Lion 系统中,引入了全新加密方式FileVault2。FileVault2使用全磁盘、AES-XTS 128加密来帮助保护数据安全。针对当前大部分的取证软件都不支持对经过FileVault2加密的磁盘进行数据解析问题,文章首先讨论了FileVault2的加密原理,接着提出了离线解密的方法,并在此基础上设计了FileVault2取证工具,使得加密磁盘摆脱了目标数据源对Mac OS系统的依赖,能够在没有Mac OS系统的环境下对经过FileVault2加密的磁盘进行取证。实践表明此离线解密方法丰富了加密数据的取证项。     

LUKS加密卷的离线解密技术分析

LUKS是Linux系统下的常用的磁盘加密技术之一,通用于Linux的各个版本,具有支持多用户/密码对同一个设备的访问、加密密钥不依赖密码、可以改变密码而无需重新加密数据、采用一种数据分割技术来保存加密密钥保证密钥的安全性等特点。针对目前取证软件无法直接对LUKS加密分区的快速取证的问题,文章首先研究了LUKS加密分区的加密原理,并在此基础上提出了LUKS的解密方法,能够摆脱对Linux系统的依赖,极大提高了取证效率。     

EFS离线解密方法及其取证应用

微软从Windows 2000开始引入加密文件系统（EFS）。EFS是集成在NTFS文件系统中的一个组件,允许用户对NTFS分区上的文件进行加解密。针对目前大部分的取证软件无法实现对EFS加密文件快速取证等问题,文章首先讨论了EFS的加密原理,接着提出了EFS的离线解密方法,并在此基础上设计了EFS取证工具（FET）。EFT摆脱了对目标数据源上操作系统的依赖,能够同时对目标数据源上多个不同用户的EFS加密文件进行快速检索和批量取证。实践表明,EFT能够极大提高办案人员的取证效率。     

黑莓文件系统解析技术

文章阐述了一种由具体内容映射文件系统一般规律的分析方法,从逻辑单元和文件内容的组成入手,从文件目录和其它信息结构的存储结构展开,最终得到文件系统的基本结构和各种参数,实现了基于手动写入参数的半手工解析技术。文中技术除了可以用于一般文件系统的解析,更重要的是可以应用于未知文件系统-黑莓文件系统的直接数据镜像解析。通过这种方法的应用,可以更深入理解文件系统的一般规律,完善文件系统解析的思路,并掌握一定的黑莓文件系统思想,最后实现黑莓手机镜像的取证。