电子取证技术分论坛 加密磁盘取证技术 Forensic analysis of encrypted drives 演讲人：徐志强 个人简介 徐志强 (Henry Tsui) 中国政法大学, 法务会计研究中心特聘研究员 江西警察学院, 计算机犯罪中心特聘研究员 中华全国律师协会信息网络与高新技术专委会特邀委员 南昌大学, 工程硕士专业学位研究生导师 中国刑事警察学院，客座讲师 _______________________________________________ • • • • • • 美国EnCase认证调查员(EnCE)—中国大陆首位获得 美国EnCase认证讲师 美国ISC2认证电子取证专家(CCFP) —中国大陆首位获得 中国电子数据取证调查员(MCE) 美国高科技犯罪调查协会会员(HTCIA) 美国注册舞弊审查师协会会员(ACFE) 物理安保 大厦大门 房门 抽屉 电子数据安保 硬件：生物特征/数字密码  软件：全盘加密/加密容器  应用：文件加密  加密磁盘类型及应用  磁盘加密类型 – 硬件级加密 • 磁盘固件 • 加密芯片 – 软件级加密 • 全盘/卷加密 • 加密容器 加密磁盘类型及应用 1. 磁盘固件加密 – 1997年发布ATA-3规范，开始支持硬盘数据安全保护。 – 硬盘可通过BIOS或第三方软件设置硬盘保护密码  特性 – 支持两种密码：Master(主密码)和User(用户密码) – 支持两种安全级别：High和Maximum 参考：File System Forensic Analysis, Brian Carrier, 2005 加密磁盘类型及应用  BIOS设置硬盘密码 – 多数商务型笔记本（如Thinkpad、Dell Latitude） 均支持在BIOS直接设置硬盘密码) ATA加密硬盘取证方法  取证方法 – 获取磁盘固件信息直接提取硬盘密码 – 采用固件替换法绕过硬盘密码保护  取证工具 – ATOLA Insight – PC-3000 UDMA ATA加密硬盘取证方法  使用ATOLA Insight提取硬盘密码或直接解密 加密磁盘类型及应用 2. 加密芯片 – 基于独立加密芯片的磁盘加密，可采用工业级加 密算法（如AES）实现数据真正加密。 – 符合美国FIPS 197信息处理标准 http://www.intel.com/content/dam/www/public/us/en/documents/technology-briefs/ssd-320-series-datasecurity-features-brief.pdf 加密磁盘类型及应用 2. 加密芯片 – 越来越多的硬盘厂商提供支持加密的移动硬盘， 内置硬盘加密管理工具。 西部数据WD Drive Unlock工具 芯片加密磁盘取证 提取生物特征进行解密  提取相关密码辅劣解密  加密磁盘类型及应用 3. 全盘/卷加密 – 常见的加密软件BitLocker、SafeBoot、PGP、 CheckPoint等  特点 – 基于软件的磁盘加密部署起来更灵活简单，适用 性强。 – 支持对操作系统所在分区也加密，大大提升系统 分区的数据安全性。 常见全盘加密软件           McAfee Safeboot /McAfee Endpoint Encryption Bitlocker/BitLockerToGo Check Point PointSec PC/Endpoint Full Disk Encryption PGP WDE / Symantec Encryption Utimaco SafeGuard Easy WinMagic SecureDoc GuardianEdge Sophos SafeGuard FileVault (Macintosh OSX) LUKS (Linux) 全盘加密的模式特征 类型 存储 位置 偏移量 BitLocker (Vista) VBR 扇区 Offset 0 Hex：EB 52 90 2D 46 56 45 2D 46 53 2D ASCII: ëR|¬-FVE-¬FS- BitLocker (Win7/Win8) VBR 扇区 Offset 0 Hex：EB 58 90 2D 46 56 45 2D 46 53 2D ASCII: ëX¬|-FVE-FS- SafeBoot MBR 扇区 Offset 3 Hex: 53 61 66 65 42 6F 6F 74 ASCII: SafeBoot Check Point FDE VBR 扇区 Offset 90 Hex: 50 72 6F 74 65 63 74 ASCII: Protect GuardianEdge Encryption Plus/Anywhere MBR 扇区 Offset 6 Hex: 50 43 47 4D ASCII: PCGM Symantec Endpoint Encryption MBR 扇区 Offset 6 Hex: 50 43 47 4D ASCII: PCGM Sophos Safeguard Enterprise MBR 扇区 Offset 119 Hex: 53 47 4D 34 30 30 3A ASCII: SGM400 Safeguard Easy MBR 扇区 Offset 144 Hex: 53 47 45 34 30 30 3A ASCII: SGE400 特征字符 全盘加密的模式特征 类型 存储位置 偏移量 Symantec PGP WDE MBR扇区 Offset 3 WinMagic SecureDoc FDE MBR扇区 Offset 246 Apple FileVault 容器 Offset 0 特征字符 Hex：EB 48 90 50 47 50 47 55 41 52 44 ASCII: ëH|PGPGUARD Hex：57 4D 53 44 ASCII: WMSD Hex: 65 6E 63 72 63 64 73 61 ASCII: encrdsa 全盘加密的模式特征 Vista Win7Win10 Safe Boot 支持全盘加密的取证软件 EnCase v6 EnCase v7 FTK V6 取证大师 V4 Vista 支持 支持 支持 支持 Win7 支持 支持 支持 支持 Win8 不支持 支持 未知 支持 Win10 不支持 支持 未知 支持 BitLockerToGo 支持(Win7) 支持 未知 支持 4.x 支持 支持 支持 不支持 5.x 支持 支持 支持 不支持 6.x 支持 支持 支持 不支持 7.x 支持 支持 未知 不支持 V1 不支持 未知 支持 不支持 V2 不支持 未知 支持 支持 V6-V7 不支持 不支持 不支持 支持 加密类型 Microsoft BitLocker McAfee SafeBoot FileVault TrueCrypt 支持全盘加密的取证软件 EnCase v7 6.x 不支持 支持 不支持 7.x 不支持 支持 不支持 8.x 不支持 支持 不支持 4.x 支持 支持 支持 不支持 5.x 支持 支持 支持 不支持 6.x 支持 支持 未知 不支持 Linux LUKS 不支持 不支持 不支持 支持 Symantec PGP FDE 9.x 支持 支持 不支持 不支持 10.x 支持 支持 不支持 不支持 7.x 不支持 支持 不支持 不支持 8.x 不支持 支持 不支持 不支持 Check Point PointSec Sophos SafeGuard Symantec Endpoint FTK V6 取证大师 V4 EnCase v6 加密类型 加密磁盘类型及应用 4. 加密容器(虚拟磁盘) – 常见的加密软件TrueCrypt、Private Disk、PGP等  特点 – 所有数据存在于单个加密容器文件中，使用简单。 – 数据迁移非常方便，只需移动加密容器文件。 – 支持各种高强度加密算法，破解难度极大。