TrueCrypt加密之后的文件,目前没有好的办法破解,因此在调查取证的时候,可以考虑以下方法:

4.1 分析和检查是否有TrueCrypt加密之后的文件存在。

(a) TrueCrypt加密之后的文件没有固定的特征,如果加密者把这样的文件保存为常见格式的文件时,利用Encase、Winhex、取证大师等软件分析文件特征,对于不匹配的文件重点分析,进行排查是否为加密文件;

(b) 搜索系统所安装软件,包括历史安装记录,检查是否有安装TrueCrypt软件的

痕迹;

(c) 搜索大文件,作为加密容器,一般都存放着多个文件,因此,较大的文件可能性会比较大,不过也不排除特别重要的文件单独加密的可能。

4.2 TrueCrypt能设置双层加密,即在一个加密卷中再隐藏另一个加密卷,隐藏卷形象的来说就是“嵌套”在普通加密卷里边的。当用户被胁迫解密加密卷时,用户可以把隐藏加密卷的“外套”普通加密卷解密,透露一些无关紧要的信息,而真正的受保护的信息则隐藏在隐藏卷中,数据得以保护。加密卷的加载流程如下图所示:

图1 加密卷的加载

对于此类情况,首先要考虑是否能得到隐藏卷的密码,如果不能,应该把数据备份之后,用无用数据填充的方式覆盖普通卷空余的空间,可以把伪装在普通卷里面的数据破坏,让加密者自己也无法再恢复这些隐藏的数据。

4.3 TrueCrypt对数据的操作都是在内存(RAM)中进行,因此软件不确定是否在计算机的内存中保存有密码、主密钥和一些未加密的数据。而最新的研究成果显示,即使计算机关机后,内存保存的资料,包括加密程序的安全锁和口令仍未消失,最长可能达数分钟之久,透过冷冻计算机记忆芯片,还可延长内存暂存资料的时间,普林斯顿大学一班计算机保安专家组成的研究小组组长-计算机科学家费尔滕解释:只要以液态氮(摄氏-196度)冷冻计算机芯片,即使电源已中断,内存仍可保持状态至少数小时。然后将芯片安装回计算机,就可读取里面的资料。

4.4 在使用者机器上安装使用间谍或者监控程序,开机自动运行,利用键盘记录钩子记录TrueCrypt加载卷的密码。此外,还可以利用政策,社会工程学方法(如通过其他途径获得其他帐号密码或者其他方面的信息来分析加密文件的密码)等方式来获取密码,并注意是否可以获取隐藏卷的密码。

5 总结

TrueCrypt是全球著名的开源加密软件,有着安全、易用、功能强大等优点,也适用于可移动存储设备的加密。随着在国内应用的推广,对使用该软件加密之后的计算机数据的取证也变得越来越困难,因此有必要对这方面加强研究,总结规律,以提高取证的效率。

TrueCrypt加密模式及对应取证方法研究.pdf

[原文地址]

相关讨论:

1#

九九 (你说我是禽兽,可我连禽兽都不如。) | 2013-08-31 09:07

表示从未喝过茶。

2#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-08-31 09:09

浮云,都是浮云……

3#

光的圆周率 (等级:二逼白帽子) | 2013-08-31 09:42

表示中枪 数据都是用TC加密的...

4#

无敌L.t.H (:?门安天京北爱我) | 2013-08-31 10:13

真·TrueCrypt加密之后的取证方法:严刑逼供

5#

Sunshine (此处内容为隐藏0day,点击右边感谢即可查看此0day) | 2013-08-31 10:52

@无敌L.t.H 此法适用所有。。

6#

safe121 (--黑阔娱乐群:328034840) | 2013-08-31 10:52

@无敌L.t.H USBKEY加密,目前USBKEY已经被毁灭。。。

7#

insight-labs (Root Yourself in Success) | 2013-08-31 10:56

4.2

平时多注意备份就行了,比如把加密容器传到网盘,备份到移动硬盘后异地备份等等。

4.3

防御方法:

1.打开bios中的开机内存检查功能,查水表收快递时立刻按reset按钮重启。内存会被覆盖。

2.每次mount加密卷之后用完尽快dismount,用truecrypt的dismount会清除内存里的key。

3.内存越大越好,内存越大在内存里找到key的几率越小,尤其是用冷冻法,因为内存越大把内存复制出来用的时间越长,里面的数据就越有可能被改变。

4.4

硬盘加密的密码或rar等文件加密密码一定要长于20位,越长越好,并且这个密码不能用于任何其他用途,比如email,qq,哪怕gmail也不行。并且也不能用于任何容易被破解的弱加密算法或者程序的key,比如pdf文档,office文档加密,windows密码等等。

最好的方法是全盘加密,所有分区都加密,并且重要文件再放到另一层加密容器中,没有密码连启动都启动不了,就更不要想放什么远控键盘记录之类的了。

如果水表爆了但是因为没法解密,找不到证据,电脑被还给你了,这时候即使用了全盘加密,也要怀疑是否加了硬件后门键盘记录之类,并且truecrypt全盘加密的话也会有一个没加密的加载器放在硬盘的隐藏分区里,也可能被改动记录密码或者变成MBR级的远控下载者。

这个时候就要把硬盘单独拿下来,随便找个电脑城重新配个一样配置的电脑,到外地并且找个绝对隐蔽的地方,即使被人跟踪也一时半会进不来的那种,隔绝网络离线加载加密卷,把重要文件拷到加密的移动硬盘里。旧的机器和硬盘直接卖掉,然后东山再起。

8#

无敌L.t.H (:?门安天京北爱我) | 2013-08-31 11:21

@safe121 欲加之罪,何患无辞。

9#

Ivan | 2013-08-31 11:33

昨晚刚安装……

10#

乌帽子 (儿啊,到大城市切莫乱搞女人啊,染上什么病回来传染给) | 2013-08-31 12:33

这就是科普下tc的用法啊,

如果不能,应该把数据备份之后,用无用数据填充的方式覆盖普通卷空余的空间,可以把伪装在普通卷里面的数据破坏,让加密者自己也无法再恢复这些隐藏的数据。

为什么不直接删掉呢

11#

怀念 | 2013-08-31 13:05

对于此类情况,首先要考虑是否能得到隐藏卷的密码,如果不能,应该把数据备份之后,用无用数据填充的方式覆盖普通卷空余的空间,可以把伪装在普通卷里面的数据破坏,让加密者自己也无法再恢复这些隐藏的数据。

这段是不是真的啊?填充普通加密卷会破坏隐藏加密卷?

感觉有点不可信。。。

12#

熊猫 (???????????????????) | 2013-08-31 16:04

可以砸硬盘吧…

相关内容:

猜想:利用GFW使中国对外网络瘫痪???

猜想_利用终端查询机日内网 免费购物 会员卡加钱???

如何保护自己之防非IP方式追查,黑钱提线,赃物收货。。。。

物理设备安全大牛 Barnaby Jack 挂了...

安全跑路指南2013之乌云版【连载中】

我们是如何通过一张照片定位到疯狗位置的

分享下自己使用的保护方法篇章二(虚拟机模板环境设置) 连载中...

分享下自己使用的保护方法篇章一(虚拟机代理中转服务器设置)连载中...

分享下自己使用的保护方法篇章一(虚拟机代理中转服务器设置) 连载中...

户外物理设备入侵之:入侵并“调教”中控指纹语音考勤系统(打卡机)

物理黑客户外硬件入侵之:某咖啡厅的广告展示终端……

公告:关于前两天本站无法打开的原因 + GFW拦截规则原理剖析

[讨论]如何入侵一个户外的电子显示屏

探索网络出口GFW的强度与翻墙

二维码应用漏洞|欺骗|....更多好玩的???

[fixed]中国移动139邮箱之前的一个重置密码流程漏洞

Inception能入侵全盘加密的计算机,修改物理机器内存/任意密码进入

android 延迟锁定bug,安卓手机锁破解,屏幕解锁保护

关于手机的隐私保护。。

远程入侵QQ好友所在网吧监控系统,人脸识别、定位坐标,定点打击

看新闻学知识之手机千里追回

西安丢iPhone定位在北京民警辗转2400公里追回

定位GFW的python脚本,如何找到GFW设备的IP地址

Android 无视屏幕解锁保护界面 - 安卓手机锁破解

找出 GFW 在 Internet 的位置、追踪 GFW 在互联网中的位置

网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!

【需翻墙】网监如何爆菊?网警是如何通过层层VPN加密代理找到你的!

讲述一个关于高考的“黑客”故事:用2B铅笔“注入”阅卷系统

奇虎360成功加入GFW防火长城 为国家安全保驾护航

公布 GFW 防火墙旗下部分子服务器 IP

美国秘密研制新概念网路武器 可攻击离线电脑 无线电信号渗透

华裔黑客 BITcrash44 凭借一台 iPhone4 拿下时代广场大屏幕

视频:国外黑客无线入侵、遥控电子路桥系统

视频:国外黑客无线入侵保时捷911,并且远程操控、遥控

视频:国外黑客利用一部诺基亚N95手机入侵火车站电子屏,并且现场直播

视频:国外黑客入侵高速公路交通电子屏

大屏系统被黑 泰国国会现场直播不雅照

利用电磁波进行入侵、原子级的黑客入侵、利用电磁波毁坏物理设备

电视机会收到邻居游戏机画面?小霸王信号干扰?红白机功率这么强悍?

我国将建立IP地址黑名单制度 打击网络垃圾邮件

末世入侵行动 (Fire Sale!) 末日入侵行动

GSM蜂窝基站定位基本原理浅析

用黑客方式找回失窃的电脑 - GSM基站定位 - Wifi热点定位

不要偷黑客的东西 - Why you don't steal from a hacker

物理攻击、抓频攻击 - 利用雷达来进行扫描网络弱点

苹果iPhone和谷歌Android手机被曝"定位"用户