全盘加密又咋地!只要启动闪存,即可将其破解并提取其中的密码

xiaohui 系统安全 2019年5月10日发布
Favorite收藏

导语:本文将论述全盘加密,以及如何通过启动一个闪存(flash drive)来破解这种加密方式。

何为全盘加密

全盘加密(Full-disk encryption)对取证取证专家来说是个非常大的挑战。Android 的安全性问题一直备受关注,Google在Android系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。在Android的安全加密方面,加密分全盘加密和文件级加密(Android 7.0 引入)全盘加密在 Android 4.4中引入,在Android 5.0中做了比较大的更新。本文论述的就是全盘加密,以及如何通过启动一个闪存(flash drive)来破解这种加密方式。

对于一般人来讲,全盘加密也许并不必要;然而,如果你需要处理像商业机密和不希望被其他人看见的隐私的话,那么全盘加密就显得很有必要了。

全盘加密的意义有以下两个:

1.淘汰旧计算机的时候,旧计算机硬盘上遗留的机密数据不会被有心人士挖掘出来并公之于众;

2.只要加密强度设置地足够高,无论是执法人员还是那些企图盗取数据的不法分子都无法获取他们想要的数据。

一旦被加密,如果没有被授权,就无法获取硬盘内的数据,即使是手机或计算机的生产者也不可以。

全盘加密在大部分的商业操作系统中都有应用,用户只需要选择打开这个功能,设置一个较强的密码或是词组就可以了。要访问设置全盘加密的手机或计算机,在打开设备后,启动时,会收到输入密码的用户提示。输入正确的密码后,系统中的加密程序就会被解锁,也就解锁了系统,就可以获得数据访问权限。

一些全盘加密程序可能会需要双重认证,在访问设备数据时,不仅需要输入密码,还需要插入一个智能读卡器,或者是输入一个由安全令牌产生的随机密码。

全盘加密程序与文件加密程序不同的是,后者只针对某个特定的文件进行加密,而全盘加密将会对系统内的所有数据都进行保护,包括操作系统。但全盘加密程序只会在设备关闭时开启保护功能。

当授权用户登录计算机时,就会解开加密程序,并将设备中的所有数据都暴漏在所有使用设备的人面前,除非用户对独立的文件夹都进行了加密。

但并不是所有的全盘加密工具都能确保数据百分之百的安全。全盘加密工具的安全性有多高还是要看开发者设计的程序是否可靠,一些使用弱加密系统的设备,或存在很大安全漏洞的设备也会给人一种“伪安全”的假象,很容易被破解。

破解的思路

在获取具有加密系统卷的计算机时,如果不首先对加密进行破解,则调查就无法进行。传统的操作是,直接删除硬盘驱动器,生成磁盘映像,然后通过映像来获取相关信息。不过,这种方法太过于粗暴,且效率低下。在本文中,我们会提供一种更快、更容易的方法来访问破解全盘系统加密所需的信息。大致的思路是这样的:通过启动闪存,然后暴力破解原始明文密码,将强行获取系统卷加密时所需的那些元数据。对于非系统卷,取证专家可以快速获取系统的休眠文件,以便稍后使用Elcomsoft取证磁盘解密器实时提取加密密钥。

这个取证流程的本质,就是访问存储在受全盘加密保护的计算机上的密码。一旦对系统分区进行了加密,除了破解加密之外,就别无他法了。与传统的获取密码的工作流程相比,Elcomsoft系统恢复工具(密码重设工具)有助于更快地启动密码恢复破解,并通过提取可能包含保护加密卷的动态加密密钥的系统休眠文件,在几分钟内完成加密卷的挂接。

这种新的取证流程,在分析ultrabook、笔记本计算机和二合一的Windows平板设备(如微软Surface range)时尤其方便。因为这些设备都具有不可移动、焊接存储或非标准介质的特性。通过这个思路,取证专家就可以提取对加密卷发起破解所需的所有信息。

Elcomsoft系统恢复工具提供了前所未有的安全性和兼容性,使用被授权的Windows PE环境可以确保完全的硬件兼容性和对系统的启动支持,这些系统均受到安全启动的保护。Elcomsoft系统恢复工具以严格的只读模式挂接用户的磁盘和存储介质,以确保取证取样。

使用Elcomsoft系统恢复工具制作一个可启动的Windows PE闪存

为了提取暴力破解原始密码所需的信息,你需要获取一小部分加密卷。你只需通过Windows PE闪存启动系统,然后运行Elcomsoft系统恢复工具一个(一个用于解锁Windows帐户和访问加密卷的工具)。你只需按着操作提示,轻点几下就可以制作一个可启动的Windows PE闪存。具体过程如下:

1.安装Elcomsoft系统恢复工具;

2.插入一个空的闪存并启动该工具;

1.png

3. 选择目标驱动器并指定文件系统。注意:确保选择正确的分区方案。虽然FAT 32 MBR,BIOS适用于旧PC,但大多数具有安全启动功能的新计算机都需要FAT32 MBR,UEFIx64。而某些配备了32位模式运行的64位处理器的设备(例如Lenovo ThinkPad 8)需要FAT32 MBR,UEFIx32分区。

2.png

4. 点击Format选项,Elcomsoft系统恢复工具将创建一个可启动的闪存,以及预装和预配置Windows PE和ESR实用程序。

3.png

目前,有两种截然不同的方法可用于访问存储在加密卷中的密码。

方法1:通过提取休眠文件来访问加密密钥

密码容器的设计旨在抵御对其密码的暴力破解,此外,一些全盘加密方法根本不使用密码,例如BitLocker设备加密,这是二合一设备和超薄笔记本计算机(如Microsoft Surface range)最常用的加密方法。

由于暴力破解密码可能非常耗时,因此我们开发了一种更高效的工具。

我们破解的对象是即时加密密钥(OTFE密钥),所有加密容器中都包含它们。这些密钥是系统在正常操作期间用于加密和解密信息的实际二进制密钥,密钥始终存储在系统的易失性内存中,同时挂接加密卷以便于对加密数据的读/写访问。你可以使用Elcomsoft Forensic Disk Decryptor(EFDD解密工具) 直接从设备的内存中提取这些密钥,但是这不是本文要讲的。本文,我们只谈如何提取休眠文件。因为全盘加密只在用户未进入操作环境时,发挥作用。

当用户让计算机进入睡眠状态(而不是关机)时,Windows此时的默认行为就被称为混合睡眠(hybrid sleep)状态。在混合睡眠期间,Windows会将设备易失性内存的副本保存在计算机的硬盘驱动器或SSD驱动器上,以便保存的状态可以在断电后继续存在。与此同时,计算机的RAM芯片仍处于开机状态,以保存信息。如果在睡眠期间不切断电源,计算机将立即恢复运行。但是,如果出现断电(或电量耗尽),Windows将从硬盘驱动器加载保存的RAM内容。存储计算机内存内容的文件称为休眠文件,Windows以“hiberfil.sys”的名称存储休眠文件。此时休眠文件已经被加密,我们要破解的就是这种被加密的休眠文件。

如果计算机在挂接加密分区时处于休眠状态,则OTFE密钥可以直接存储在系统的休眠文件中。如果通过闪存启动,我们可以获得休眠文件,并使用它来定位所有加密卷的OTFE密钥,这些卷在计算机进入休眠状态时仍然挂接。此时,你将需要Elcomsoft取证磁盘解密器来提取OTFE密钥,并使用它们来立即挂接或解密加密卷。

要提取系统的休眠文件,请执行以下操作:

1.安装Elcomsoft系统恢复工具 6.0工具或更新到最新版本;

2.创建一个可启动的闪存,确保指定目标系统的正确配置(BIOS或UEFI、32位或64位)。由于休眠文件可能非常大,我们建议使用至少32GB的闪存。

3.在你刚刚创建的闪存中启动目标系统;

4. 启动完成后, Elcomsoft系统恢复工具将启动。在以下窗口中,选择“磁盘工具”。

4.png

5.选择复制hiberfil.sys文件,整个休眠文件将被复制到已启动的系统的闪存上,所以要确保USB驱动器上有足够的空间。

5.png

6.指定文件应该存储的位置,默认情况下,ESR会建议使用启动它的驱动器。如果u盘上没有足够的空间,可以指定其他介质。

6.png

7.你现在可以将休眠文件传输到你的计算机,Elcomsoft取证磁盘解密器会提取OTFE密钥,并使用它们立即挂接或解密加密卷。这个过程可能需要几分钟,特别是当休眠文件的大小很大时,需要的时间会更长。

如果在休眠文件中没有找到加密密钥(如果将加密卷配置为在休眠或休眠时自动删除,可能会发生这种情况),则需要破解加密卷的密码。为了破解,你需要从加密卷中提取几千字节的加密元数据。

方法2:提取加密元数据并暴力破解密码

传统的获取方法是需要先将计算机进行拆卸,移除并映像所有存储设备。看似动静很大,其实最终的目的只是破解含有几千字节的加密元数据。现在的这个方法,就是让你在不拆卸硬盘驱动器的情况下,更高效地提取元数据。

Elcomsoft系统恢复工具允许取证者通过只读访问计算机存储设备的便携式闪存启动计算机,从而更快地开始取证。该工具会自动检测所有内置和可移动驱动器上的全加密盘,并允许提取位于加密卷中的已经暴力破解的加密元数据。由于密码容器的设计使得对密码的破解极其缓慢,在此,我们建议使Elcomsoft Distributed Password Recovery工具执行基于字典的分布式破解。ElcomSoft Distributed Password Recovery 是一款俄罗斯安全公司出品的分布式密码暴力破解工具,能够利用Nvidia显卡使WPA和WPA2无线密钥破解速度提高100倍,而且软件还允许数千台计算机联网进行分布式并行计算。

开启密码破解的正确姿势,是使用TrueCrypt还是VeraCrypt?

TrueCrypt,是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。目前TrueCrypt的研发者已经停止了对此工具的开发工作。

VeraCrypt,是一款免费开源跨平台的实时磁盘文件加密工具,它是基于知名的开源加密工具 TrueCrypt 项目衍生而来。由于之前 TrueCrypt 已在官网上宣布其自身不安全并已停止开发了,因此现在比较活跃、而且同样是开源跨平台的 VeraCrypt 顺理成章成为大家公认的最佳文件加密工具新选择之一

因为TrueCrypt和VeraCrypt容器使用类似的加密格式,所以我们无法将它们区分开来。不过,这两种工具在破解加密时有所不同,因此你必须先选择正确的破解工具才能开启密码破解过程。

此外,TrueCrypt和VeraCrypt都为用户提供了多种加密算法的选择。每个算法都可以按着用户的选择配置不同的迭代次数(从密码生成OTFE密钥的哈希操作的次数)。如果用户指定了非标准的哈希迭代次数,那么除非你知道该次数或者尝试所有可能的组合,否则无法破解密码。就算破解成功,也是一个耗时耗力的过程。

要提取加密元数据,请执行以下操作。

1.安装Elcomsoft系统恢复工具 6.0或更新到最新版本;

2.创建一个可启动的闪存,确保指定目标系统的正确配置(BIOS或UEFI、32位或64位)。一般来说,我们建议使用至少32GB的高速闪存;

3.从你刚刚创建的闪存启动目标系统;

4.一旦启动开始, Elcomsoft系统恢复工具也要立即启动。在下面的窗口中,选择“磁盘工具”;

7.png

5.选择复制驱动器加密密钥;

8.png

6.Elcomsoft系统恢复工具将自动检测所有固定和可移动驱动器上的全盘加密卷;

9.png

7.你可以选择要处理的卷,例如,试试以下的TrueCrypt/VeraCrypt卷:

10.png

8.因为TrueCrypt和VeraCrypt卷使用相同的卷格式,所以不能自动区分它们,此时你将需要手动指定加密容器的类型;

11.png

9.TrueCrypt和VeraCrypt都允许使用不同的加密和哈希算法,如果你知道使用哪些加密和哈希算法来加密卷,请在下一步中指定它们。

12.png

10.但是,如果你对用户选择的加密算法和哈希算法有怀疑,请将这些值保留为“Unknown”。因为我们必须尝试多种组合,这会减慢破解密码的速度。但是,这仍然比指定错误的加密类型,并最终造成密码破解失败要好得多。

13.png

11. 完成转储加密元数据后,将文件传输到Elcomsoft分布式密码恢复工具以恢复原始明文密码。注意,即使使用功能强大的硬件,密码破解也可能会花费大量时间。

如果找到密码,则可以挂接加密卷,或者使用Elcomsoft取证磁盘解密器对其解密,以便进行脱机分析。

内存转储

如果你正在分析一个正在运行中的系统,并且用户已经登录,那么你还可以通过进行易失性内存转储来捕获OTFE密钥。为了捕获RAM映像,你必须在用户正在运行的系统上运行Elcomsoft取证磁盘解密器(不要考虑“只读”部分)。此时,用户必须已登录,并且该帐户必须具有管理权限。

注意:实时系统分析是危险的, 因为Elcomsoft系统恢复工具只提供了只读操作。

要捕获内存转储,请将Elcomsoft取证磁盘解密器安装到闪存上,将该闪存连接到目标系统并运行小型捕获工具。

14.png

内存转储被保存后,确保在闪存上指定正确的路径。

15.png

现在,你可以将内存转储转移到自己的计算机上,并运行Elcomsoft取证磁盘解密器来搜索OTFE密钥。

总结

Elcomsoft系统恢复工具虽然不会让你直接进入加密卷,但是该工具提供了一个比其他方式更快的方式,允许你高效地从中提取信息,这比使用传统方法能更快地提取加密密钥或破解密码。

本文翻译自:https://blog.elcomsoft.com/2019/04/a-bootable-flash-drive-to-extract-encrypted-volume-keys-break-full-disk-encryption/如若转载,请注明原文地址: https://www.4hou.com/system/17850.html
点赞 8
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论