CN111291001B - 计算机文件的读取方法、装置、计算机系统及存储介质 - Google Patents
计算机文件的读取方法、装置、计算机系统及存储介质 Download PDFInfo
- Publication number
- CN111291001B CN111291001B CN202010075497.9A CN202010075497A CN111291001B CN 111291001 B CN111291001 B CN 111291001B CN 202010075497 A CN202010075497 A CN 202010075497A CN 111291001 B CN111291001 B CN 111291001B
- Authority
- CN
- China
- Prior art keywords
- file
- password
- computer
- directory
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000012545 processing Methods 0.000 claims abstract description 22
- 230000006870 function Effects 0.000 claims description 78
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012217 deletion Methods 0.000 description 6
- 230000037430 deletion Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000012550 audit Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 238000004088 simulation Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种计算机文件的读取方法、装置、计算机系统及存储介质,计算机文件的读取方法包括以下步骤:提供一存储文件,存储文件采用APFS文件系统,制作存储文件的镜像文件以及进行快照处理形成快照文件;定位APFS文件系统的口令文件并删除口令文件;将镜像文件的块头部校验码进行更新,将修改后的数据块进行保存并写入镜像文件;对镜像文件进行读取。本发明先将采用APFS文件系统的口令文件删除,再将镜像文件的块头部校验码进行更新,将修改后的数据块进行保存并写入镜像文件,通过修改后的口令文件后可登录进行对文件的操作,从而绕过输入原口令文件中的登录口令,实现对存储文件的读取。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种计算机文件的读取方法、装置、计算机系统及存储介质。
背景技术
随着信息技术的发展,对计算机文件系统中的信息进行备份、提取、取证的需求越来越多。若要顺利实现读取信息,一般要验证读取者的身份/权限,例如需要提供用于读取数据的口令,方可获得全面的读取数据。
然而,当前的读取者可能忘记了口令,或因设备问题无法输入口令,就需要采取技术手段绕过该口令,如针对取证过程中办案人员需要对苹果手机进行无密码登录的需求。现有的APFS文件系统是苹果公司推出的文件系统,安全性能较高,系统设置严谨,不容易绕过登录口令。但是在某些特殊情况下,如进行计算机仿真取证过程中,为达到取证的目的需要绕过登录口令对计算机文件进行读取。因此,需要一种处理登录口令的计算机文件的读取方法。
发明内容
本发明的目的在于提供一种计算机文件的读取方法、装置、计算机系统及存储介质,以解决如何绕过登录口令的问题。
为了实现上述目的,本发明提供一种计算机文件的读取方法,包括以下步骤:
提供一存储文件,所述存储文件采用APFS文件系统,制作所述存储文件的镜像文件,对所述镜像文件进行快照处理形成快照文件;
定位所述APFS文件系统的口令文件并删除所述口令文件;
将所述镜像文件的块头部校验码进行更新,将修改后的数据块进行保存并写入所述镜像文件;
对所述镜像文件进行读取。
进一步的,提供所述存储文件时,若所述存储文件采用加密卷格式,则先对所述镜像文件进行解密处理,并在块头部校验码更新后进行加密处理。
进一步的,所述块头部校验码采用Fletcher 64checksum的算法得出。
进一步的,定位所口令文件的方法包括:采用目录搜索法定位口令文件的位置,所述目录搜索法根据所述存储文件的目录路径进行搜索,在单级目录中用顺序查找法,在树型目录中对多级目录分别进行查找。
进一步的,删除所述口令文件时采用回调函数检测所述口令文件。
进一步的,所述解密处理采用AES-XTS解密算法。
进一步的,所述加密处理采用AES-XTS加密算法。
为了实现上述目的,本发明提供一种计算机文件的读取装置,包括存储文件、口令删除模块和校验码写入模块,所述存储文件采用APFS文件系统,制作所述存储文件的镜像文件,对所述镜像文件进行快照处理形成快照文件,所述口令删除模块用于定位所述APFS文件系统的口令文件并删除所述口令文件,所述校验码写入模块用于将所述镜像文件的块头部校验码进行更新,以及将修改后的数据块进行保存并写入所述镜像文件。
为了实现上述目的,本发明还提供一种计算机系统,其包括多个计算机设备,各计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述多个计算机设备的处理器执行所述计算机程序时共同实现前述方法的步骤。
为了实现上述目的,本发明还提供一种计算机可读存储介质,存储介质上存储有计算机程序,所述存储介质存储的所述计算机程序被处理器执行时实现前述方法的步骤。
通过采用上述技术方案,本发明相对于现有技术具有如下有益效果:
本发明提供的计算机文件的读取方法、装置、计算机系统及存储介质,先将采用APFS文件系统的口令文件进行定位并将其删除,再将镜像文件的块头部校验码进行更新,将修改后的数据块进行保存并写入所述镜像文件,从而可实现绕过口令登录对存储文件进行读取,通过修改后的口令文件后可登录进行对文件的操作,从而绕过输入原口令文件中的登录口令,实现对存储文件的读取。
附图说明
图1为本发明计算机文件的读取方法的流程示意图;
图2为本发明采用回调函数的流程示意图;
图3为本发明计算机文件的读取装置的结构框图;
图4为本发明计算机设备的一个实施例的硬件架构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明可用于对APFS(Apple File System)文件系统进行仿真取证过程中,能够绕过登录口令,为取证工作带来方便,其中APFS系统是是苹果公司发布的文件系统,替其核心包括加密功能,该系统包含有多密钥加密功能,内置有针对每个文件的登录口令。本方案参考图1所示,按照步骤S10:提供一存储文件,所述存储文件采用APFS系统,对于存储文件的存储格式、内容或大小等不作限制,制作所述存储文件的镜像文件,对所述镜像文件进行快照处理形成快照文件。
APFS系统具备动态存储功能,在不用重新分区的情况下,分区大小可以动态调整;其磁盘加密分为三种卷加密模型;不加密、单密钥加密、多密钥加密(即每个文件使用单独的密钥加密,元数据再使用另一个密钥加密);在数据完整性上,为确保数据完整性,APFS系统对元数据采用校验和技术。
为了进行电子取证,通常情况下,数据获取是通过镜像(image)来实现的,镜像文件是保护证据并提取证据的一种有效方式,是电了数据取证的一个重要环节,也就是存储文件为镜像文件。镜像文件是将原始数据逐比特位进行复制,从而产生与原始数据完全一致的镜像数据,可以用于仿真环境下进行分析的证据,镜像过程是将原始存储介质中的所有信息写入一个文件,这个文件就是镜像文件,与原始介质中的字节完全一致。镜像文件的格式可分为原始格式和专有格式,原始格式是指按照磁盘原样位对位复制而没有压缩的格式,如DD格式;专有格式为专业镜像工具所拥有的镜像格式,包括E01、Ex01、X-WaysForensics CTR等等。创建镜像文件可选择需要被镜像的源盘;然后选择镜像格式、到处路径后并输入相关信息;在镜像完后会自动对生成的镜像进行校验,该校验是通过验证新镜像生成的哈希值是否与源盘的文件哈希值相同,当校验值一样,能够证明生成的镜像文件与源文件也是一样的。
为了保证对所取证的镜像文件的完整性,在仿真初期时对原取证的镜像文件进行快照处理,使修改的内容记录在快照文件中,通常是存储在磁盘上,可在VMwareWorkstation Pro构架下对带有APFS文件系统的镜像文件创建快照文件,也就是对镜像文件进行快照处理形成快照文件。
快照技术的目的包括能够记录出某一时刻的数据信息并将其保存,如果之后发生某些故障需要数据恢复的时候,可以通过快照文件来将数据恢复到之前时间点的状态,而该时间点之后的数据都会丢失。快照技术的目的是能够在系统发生错误的时候恢复到之前的,而镜像技术的目的是为了保证数据冗余,在数据源发生故障的时候迅速恢复。如果用户将某个文件误删除,那么如果用户之前做过快照,就可以回复出来;如果用户做的是镜像,那么镜像文件下的该文件也会丢失,无法恢复。反过来说,如果用户的目标数据源损坏,所有数据丢失,那么快照只能恢复到最近的一个快照上。会丢失最新修改的数据,而镜像可以迅速恢复出所有的数据,保证业务的连续性。通过镜像文件的快速处理形成的快照文件来确认数据可被安全处理。
对快照文件进行解析(不破坏原镜像文件),可分析出APFS文件系统是常规卷还是加密卷,对常规卷和加密卷分别采取不同的方法进行处理。若所述存储文件采用加密卷格式,加密卷格式是指对应存储区域被加密处理,需要输入加密卷解密口令,则需要先对存储文件进行解密处理,进而对存储文件进行操作。
在本实施例中,定位所述口令文件的方法包括:采用目录搜索法定位口令文件在整个磁盘中的位置,根据存储文件的目录路径进行搜索,在单级目录中,根据提供的文件名用顺序查找法直接从文件目录中找到指名文件的目录项;在树型目录中,根据提供的文件名是由多个文件分量名组成的路径名,对多级目录分别进行查找。口令文件通常是指用于登录主机并控制系统权限的安全设置,可实现超级用户的安全审核,口令文件的审核通过需要到口令文件中匹配户名和口令,如不匹配则无法获得系统权限进行相应操作。
如在Linux系统下对文件搜索、查找、查看命令包括:强大的搜索命令find,可查找各种文件的命令;在文件资料中查找文件命令locate;搜索命令所在的目录及别名信息命令which;搜索命令所在的目录及帮助文档路径命令whereis。
采用目录搜索法查找/usr/ast/mbox的具体查找过程说明如下所示:
首先,系统应先读入第一个文件分量名usr,用它与根目录文件(或当前目录文件)中各目录项中的文件名顺序地进行比较,从中找出匹配者,并得到匹配项的索引结点号A,再从A号索引结点中得知usr目录文件放在B号盘块中,将该盘块内容读入内存;
接着,系统再将路径名中的第二个文件分量名ast读入,用它与放在B号盘块中的第二级目录文件中各目录项的文件名顺序进行比较,又找到匹配项,从中得到ast的目录文件放在C号索引结点中,再从C号索引结点中得知/usr/ast是存放在D号盘块中,再读入D号盘块;
然后,系统又将该文件的第三个分量名mbox读入,用它与第三级目录文件/usr/ast中各目录项中的文件名进行比较,最后得到/usr/ast/mbox的索引结点号为E,即在E号索引结点中存放了指定文件的物理地址。
当查找到相应文件后,目录查询操作到此结束。如果在顺序查找过程中发现有一个文件分量名未能找到,则应停止查找,并返回“文件未找到”的信息。
如搜索目录路径:private\\var\\db\\.AppleSetupDone,从而可在较短的时间内完成搜索,还可在搜索过程中边搜索边进行解密,解密处理采用AES-XTS解密算法,AES(Advanced Encryption Standard)高级加密标准是一种对称的区别加密标准,XTS加密(XEX Tweak+Ciphertext Stealing)模式由对输入的数据流进行加解密处理的第一部分和Tweak调节值的第二部分共同组成,XTS加密模式属于可调密码,可调密码和通常的密码相比,输入多了一个可以公开的tweak value。
AES算法可以通过六种模式实施:电子密码本模式(Electronic Codebook,ECB)、密码分组链接模式(Cipher Block Chaining,CBC)、计算器模式(Counter,CTR)、密码反馈模式(Cipher Feedback,CFB)、输出反馈模式(Output Feedback,OFB)和XTS加密(XEXTweak+Ciphertext Stealing)模式。从安全性程度看,XTS是一种安全性较高的加密模式,最常见的是128位,而密码越长,破解难度越大,安全性越高,PBlaze5采用256位长度密钥增强加密安全性。下图中最左侧的是未加密的原始图像,右侧分别是经过ECB和XTS加密的图像。
在具体操作中,tweak value与明文tweak后(比如做异或)将所得结果送入加密模块,加密后得到的密文再次与tweak value做一次tweak后才得到输出密文(也可能没有加密后的tweak),密钥的长度还可以使用128位、192位或256位,加密模式可包括ECB(Electronic Codebook)、CBC(Cipher Block Chaining)、CFB(Cipher FeedBack)、OFB(Output Feedback)或CTR(Counter)等。
在步骤S20中,定位所述APFS文件系统的口令文件并删除所述口令文件,在定位口令文件在磁盘中的存储位置后,删除口令文件.AppleSetupDone,可通过执行如下命令语句:rm/var/db/.AppleSetupDone,来删除原系统安装完毕的配置,从而可在后续的系统启动时达到绕过用户口令的效果。
在本实施例中,删除所述口令文件时采用回调函数检测存储文件的口令文件是否完成了删除操作,回调函数作为一个参数,将这个函数作为参数传到另一个函数里面,当那个函数执行完之后,再执行传进去的这个函数,在口令文件搜索过程中,可将所读的数据块通过回调函数传到应用层,应用层的任务是通过应用进程间的交互来完成特定的网络应用,应用层协议定义的是应用进程(进程:主机中正在运行的程序)间的通信和交互的规则,对于不同的网络应用需要不同的应用层协议,可在应用层检测并完成删除操作,先定义了主函数和回调函数,然后再去调用主函数,将回调函数传进去。
回调函数可包括主函数、回调函数和中间函数,当主函数执行过程中需要用到一个功能两次时,其中callback1函数就提供这个功能,这个函数称之为回调函数,主函数相当于整个程序的引擎,用于调度各个函数按序执行,回调函数可为一个独立的功能函数,如写文件函数,中间函数可为一个介于主函数和回调函数之间的函数,登记回调函数,通知主函数,能够起到一个桥梁的作用。
回调函数执行的流程可包括如下步骤:主函数需要调用回调函数;中间函数登记回调函数;触发回调函数事件;调用回调函数;响应回调事件。参考图2所示,在读取存储文件时,主函数可为检测存储文件是否为加密卷的函数,若否则进行口令文件删除,若是则回调到解密函数再进行口令文件删除。
在步骤S30中,为了实现文件读取的目的,将所述镜像文件的块头部校验码进行更新,将修改后的数据块进行保存并写入所述镜像文件,在将修改后的信息写入磁盘前,通过计算得到APFS文件系统的块校验码,完成更正原数据块头部校验码,也就是将口令文件删除的操作写入块头部校验码并进行保存,块头部校验码可包括、MD5值、文件大小等信息,以判断该文件是否是原文件。
哈希算法可将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值称为哈希值,哈希值是一段数据唯一且极其紧凑的数值表示形式,如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值,要找到散列为同一个值的两个不同的输入,在计算上是不可能的,在消息身份验证代码(MAC)哈希函数通常与数字签名一起用于对数据进行签名,而消息检测代码(MDC)哈希函数则用于数据完整性。MD5值则具有长度固定、容易计算、细微性、不可逆性等特点,MD5不管多长的字符串,加密之后都是一样的长度;MD5字符串和文件的加密过程是相对较容易的,很容易理解并做出处理;不管多大的文件,只要改变里面的某个字符,都会导致md5值的改变,针对这个特点,有些软件和网站提供的下载资源,其中包含了文件的md5码,用户下载后只需要用工具测一下下载好的文件的md5码,通过对比就能知道文件是否有过变动;相比于Base64加密是可逆的,MD5加密目前来说一般是不可逆的,这也大大提高了数据的安全性。
在本实施例中,块头部校验码采用Fletcher 64checksum的算法得出,也就是块头部校验码的算法是可采用Fletcher 64checksum,可采用如下代码的计算方式:
calculate a Fletcher-64checksum of the block data without the objectcheckum value and an initial value of 0
'checksum_lower_32bit=(fletcher_lower_32bit+fletcher_upper_32bit)mod0xffffffff'
'checksum_upper_32bit=(fletcher_lower_32bit+checksum_lower_32bit)mod0xffffffff'
具体的,可先将需要计算checksum数据中的checksum设为0;计算checksum的数据按2byte划分开来,每2byte组成一个16bit的值,如果最后有单个byte的数据,补一个byte的0组成2byte;将所有的16bit值累加到一个32bit的值中;将32bit值的高16bit与低16bit相加到一个新的32bit值中,若新的32bit值大于0Xffff,再将新值的高16bit与低16bit相加;将上一步计算所得的16bit值按位取反,即得到checksum值,存入数据的checksum字段即可得到校验码。在计算头部校验码,可先把校验和字段置为0,对存储文件头部中的每16bit进行二进制求和;如果和的高16bit不为0,则将和的高16bit和低16bit反复相加,直到和的高16bit为0,从而获得一个16bit的值;将该16bit的值取反,存入校验和字段。
Checksum为总和检验码,校验和,在数据处理和数据通信领域中,可用于校验目的的一组数据项的和,这些数据项可以是数字或在计算检验总和过程中看作数字的其它字符串,它的作用包括保证数据的完整性和准确性。
若存储文件采用加密卷格式,在对存储文件进行解密处理后,还需要对存储文件进行加密,在写入块头部校验码后进行加密处理,使该数据块处于加密状态。相应于AES-XTS解密算法,所述加密处理可采用AES-XTS加密算法,将修改后的数据块写入到镜像文件中,在启动MacOS操作系统后,即可以在镜像文件中进行取证操作,即在步骤S40中对镜像文件进行读取,由于删除了口令文件而不需要输入用户登录口令。
执行上面的操作后,仿真的界面会和第一次入进系统一样,这时候可以进行配置,可在镜像的存储文件中完成取证。
实施例二
如图3所示,示出了本实施例的一种计算机文件的读取装置10,包括存储文件11、口令删除模块12和校验码写入模块13,所述存储文件11采用APFS文件系统,制作所述存储文件11的镜像文件,对所述镜像文件进行快照处理形成快照文件,所述口令删除模块用于定位所述APFS文件系统的口令文件并删除所述口令文件,所述校验码写入模块13用于将所述镜像文件的块头部校验码进行更新,以及将修改后的数据块进行保存并写入所述镜像文件。
在本实施中,还可以包括快照模块,所述快照模块用于将所述存储文件11形成快照文件,快照模块采用的快照技术可包括镜像分离(split mirror)、改变块(changedblock)、并发(concurrent)三大类,后两种在实现时通常使用指针重映射(pointerremapping)和写时拷贝(copy on write)技术,changed block方式的灵活性及使用存储空间的高效性。计算机文件的读取装置可在VMwareWorkstation Pro构架下对带有APFS文件系统的镜像文件创建快照文件,也就是对镜像文件进行快照处理形成快照文件。
镜像分离在即时拷贝之前就构建数据镜像,当出现一个完整的可供复制的镜像时,就可以通过瞬间“分离”镜像来产生即时拷贝,这种技术的优点是速度快,创建快照无须额外工作。改变块是在快照创建成功后,源和目标共享同一份物理数据拷贝,直到数据发生写操作,此时源或目标将被写向新的存储空间,共享的数据单元可是块、扇区、扇道或其他的粒度级别,为了记录和追踪块的变化和复制信息,需要一个位图(bitmap),它用于确定实际拷贝数据的位置,以及确定从源还是目标来获取数据。并发与改变块非常相似,但它总是物理地拷贝数据,当即时拷贝执行时,没有数据被复制,它创建一个位图来记录数据的复制情况,并在后台进行真正的数据物理复制。
当删除口令文件时,可采用回调模块,用于检测存储文件的口令文件是否完成了删除操作,回调模块可包括主函数部分、回调函数部分和中间函数部分,当主函数部分执行过程中需要用到一个功能两次时,其中callback1函数就提供这个功能,主函数部分相当于整个程序的引擎,用于调度各个函数按序执行,回调函数部分可为一个独立的功能函数,如写文件函数,中间函数部分可为一个介于主函数和回调函数之间的函数,登记回调函数,通知主函数,能够起到一个桥梁的作用。回调模块执行的流程可包括如下步骤:主函数部分需要调用回调函数;中间函数部分登记回调函数;触发回调函数事件;调用回调函数部分;响应回调事件。
在本实施例中,存储文件11采用APFS文件系统,其可以任意其它文件格式,记录相应的数据,存储文件11包括图片、音频文件、视频文件、应用程序文件和文档等,也是作为待取证的对象,通常会将其制作成镜像文件,并进行快照处理,在VMware Workstation Pro框架下创建快照文件,使修改的内容可以记录在形成的快照文件中。在启动MacOS操作系统后进行仿真可完成取证工作。
在对口令文件进行查找时,还可应用搜索模块,所述搜索模块用目录搜索法定位口令文件在整个磁盘中的位置,根据存储文件的目录路径进行搜索,在单级目录中,根据提供的文件名用顺序查找法直接从文件目录中找到指名文件的目录项;在树型目录中,根据提供的文件名是由多个文件分量名组成的路径名,对多级目录分别进行查找。口令文件通常是指用于登录主机并控制系统权限的安全设置,可实现超级用户的安全审核,口令文件的审核通过需要到口令文件中匹配户名和口令,如不匹配则无法获得系统权限进行相应操作。
当存储文件11采用了加密卷格式时,则还需要加密解密模块,加密解密模块可采用AES-XTS加密/解密算法,对于常规卷和加密卷需要采用不同的方法进行处理,常规卷可直接处理,对于加密卷需要先进行解密处理。当口令删除模块12删除口令文件以及校验码写入模块13写入块头部校验码后,则需要加密解密模块重新加密,使存储文件11回复到加密卷状态。块头部校验码可包括、MD5值、文件大小等信息,以判断该文件是否是原文件,可以是数字或在计算检验总和过程中看作数字的其它字符串,它的作用包括保证数据的完整性和准确性。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
实施例三
本实施例还提供一种计算机系统,如图4所示,该计算机系统包括多个计算机设备20,在实施例二中计算机文件的读取装置的组成部分可分散于不同的计算机设备20中,计算机设备20可以是执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。本实施例的计算机设备20至少包括但不限于:可通过系统总线相互通信连接的存储器21、处理器22。需要指出的是,图4仅示出了具有组件21-22的计算机设备20,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器21(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器21可以是计算机设备100的内部存储单元,例如该计算机设备20的硬盘或内存。在另一些实施例中,存储器21也可以是计算机设备20的外部存储设备,例如该计算机设备20上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器21还可以既包括计算机设备20的内部存储单元也包括其外部存储设备。本实施例中,存储器21通常用于存储安装于计算机系统设备的操作系统和各类应用软件,例如实施例二的计算机文件的读取装置等。此外,存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制计算机设备20的总体操作。本实施例中,处理器22用于运行存储器21中存储的程序代码或者处理数据。本实施例计算机系统的多个计算机设备20的处理器22共同执行计算机程序时实现实施例一的计算机文件的读取方法。
通过以上的实施方式的描述,本领域普通技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
实施例四
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例计算机可读存储介质存储实施例二的计算机文件的读取装置10,被处理器执行时实现实施例一的计算机文件的读取方法。
在仿真APFS文件系统的MacOS操作系统中,需要在得到了登录口令的情况下,才能对系统内的文件进行提取,增加取证的难度。通过上述的实施例,由于安全地删除了镜像文件中的口令文件,从而对APFS文件系统的MacOS操作系统仿真启动时,可以在不用输入登录口令的情况下,实现对存储文件的读取,进而完成取证操作。由于本发明在执行口令文件删除操作过程中,采用了目录搜索法定位口令文件在整个磁盘中的位置,可以在较短的时间(几秒)内完成口令文件的定位工作。
本发明提供的计算机文件的读取方法、装置、计算机系统及存储介质,先将采用APFS文件系统的口令文件进行定位并将其删除,再将镜像文件的块头部校验码进行更新,将修改后的数据块进行保存并写入所述镜像文件,从而可实现绕过口令登录对存储文件进行读取,通过修改后口令文件后可登录进行对文件的操作,从而绕过输入原口令文件中的登录口令,实现对存储文件的读取。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种计算机文件的读取方法,其特征在于,包括如下步骤:
提供一存储文件,所述存储文件采用APFS文件系统,制作所述存储文件的镜像文件,对所述镜像文件进行快照处理形成快照文件;
定位所述APFS文件系统的口令文件并删除所述口令文件;
将所述镜像文件的块头部校验码进行更新,将修改后的数据块进行保存并写入所述镜像文件;
对所述镜像文件进行读取;
其中,定位所述APFS文件系统的口令文件,包括:
采用目录搜索法定位所述口令文件的位置,所述目录搜索法根据所述存储文件的目录路径进行搜索,在单级目录中用顺序查找法,在树型目录中对多级目录分别进行查找。
2.根据权利要求1所述的计算机文件的读取方法,其特征在于,提供所述存储文件时,若所述存储文件采用加密卷格式,则先对所述镜像文件进行解密处理,并在块头部校验码更新后进行加密处理。
3.根据权利要求1或2所述的计算机文件的读取方法,其特征在于,所述块头部校验码采用Fletcher 64checksum的算法得出。
4.根据权利要求1所述的计算机文件的读取方法,其特征在于,删除所述口令文件时采用回调函数检测所述口令文件。
5.根据权利要求2所述的计算机文件的读取方法,其特征在于,所述解密处理采用AES-XTS解密算法。
6.根据权利要求2所述的计算机文件的读取方法,其特征在于,所述加密处理采用AES-XTS加密算法。
7.一种计算机文件的读取装置,其特征在于,所述计算机文件的读取装置包括:
存储文件,所述存储文件采用APFS文件系统,制作所述存储文件的镜像文件,对所述镜像文件进行快照处理形成快照文件;
口令删除模块,用于定位所述APFS文件系统的口令文件并删除所述口令文件;
校验码写入模块,用于将所述镜像文件的块头部校验码进行更新,以及将修改后的数据块进行保存并写入所述镜像文件;
其中,定位所述APFS文件系统的口令文件,包括:
采用目录搜索法定位所述口令文件的位置,所述目录搜索法根据所述存储文件的目录路径进行搜索,在单级目录中用顺序查找法,在树型目录中对多级目录分别进行查找。
8.一种计算机系统,其特征在于,所述计算机系统包括多个计算机设备,各计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述多个计算机设备的处理器执行所述计算机程序时共同实现权利要求1至6中任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述存储介质存储的所述计算机程序被处理器执行时实现权利要求1至6中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010075497.9A CN111291001B (zh) | 2020-01-22 | 2020-01-22 | 计算机文件的读取方法、装置、计算机系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010075497.9A CN111291001B (zh) | 2020-01-22 | 2020-01-22 | 计算机文件的读取方法、装置、计算机系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111291001A CN111291001A (zh) | 2020-06-16 |
| CN111291001B true CN111291001B (zh) | 2024-03-22 |
Family
ID=71026687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010075497.9A Active CN111291001B (zh) | 2020-01-22 | 2020-01-22 | 计算机文件的读取方法、装置、计算机系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111291001B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859630B (zh) * | 2020-06-30 | 2022-06-17 | 山东云海国创云计算装备产业创新中心有限公司 | 一种图像压缩仿真验证方法、装置、设备及可读存储介质 |
| CN114756510A (zh) * | 2022-06-14 | 2022-07-15 | 深圳萨尔浒网络科技有限公司 | 计算机文件数据匹配方法、装置、计算机设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011022388A1 (en) * | 2009-08-17 | 2011-02-24 | Virtual Computer, Inc. | Layered virtual file system |
| CN105138284A (zh) * | 2015-08-11 | 2015-12-09 | 上海交通大学 | 虚拟机磁盘镜像同步操作优化的系统及方法 |
| CN110569218A (zh) * | 2019-08-01 | 2019-12-13 | 厦门市美亚柏科信息股份有限公司 | 一种ext文件系统离线修改方法、装置及存储介质 |
| CN110720088A (zh) * | 2017-06-12 | 2020-01-21 | 净睿存储股份有限公司 | 集成到大容量存储设备的可访问快速耐久存储 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8977596B2 (en) * | 2012-12-21 | 2015-03-10 | Zetta Inc. | Back up using locally distributed change detection |
| US8977598B2 (en) * | 2012-12-21 | 2015-03-10 | Zetta Inc. | Systems and methods for on-line backup and disaster recovery with local copy |
| US9842026B2 (en) * | 2013-12-31 | 2017-12-12 | Netapp, Inc. | Snapshot-protected consistency checking file systems |
| US9594636B2 (en) * | 2014-05-30 | 2017-03-14 | Datto, Inc. | Management of data replication and storage apparatuses, methods and systems |
-
2020
- 2020-01-22 CN CN202010075497.9A patent/CN111291001B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011022388A1 (en) * | 2009-08-17 | 2011-02-24 | Virtual Computer, Inc. | Layered virtual file system |
| CN105138284A (zh) * | 2015-08-11 | 2015-12-09 | 上海交通大学 | 虚拟机磁盘镜像同步操作优化的系统及方法 |
| CN110720088A (zh) * | 2017-06-12 | 2020-01-21 | 净睿存储股份有限公司 | 集成到大容量存储设备的可访问快速耐久存储 |
| CN110569218A (zh) * | 2019-08-01 | 2019-12-13 | 厦门市美亚柏科信息股份有限公司 | 一种ext文件系统离线修改方法、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 梁洪亮 ; 董守吉 ; 刘书昌 ; .面向恶意软件分析及保护的文件系统.北京邮电大学学报.2011,(03),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111291001A (zh) | 2020-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10515223B2 (en) | Secure cloud-based storage of data shared across file system objects and clients | |
| TWI786399B (zh) | 用於基於雲端的資料保護服務之後處理之非暫時性電腦可存取儲存媒體、方法及電腦系統 | |
| US20200159697A1 (en) | Immutable ledger with efficient and secure data destruction, system and method | |
| US8199911B1 (en) | Secure encryption algorithm for data deduplication on untrusted storage | |
| US20180191502A1 (en) | Method for storing an object on a plurality of storage nodes | |
| US9256499B2 (en) | Method and apparatus of securely processing data for file backup, de-duplication, and restoration | |
| US11663236B2 (en) | Search and analytics for storage systems | |
| EP3369030A1 (en) | Methods and apparatus for mobile computing device security in testing facilities | |
| CN111222176B (zh) | 基于区块链的云存储持有性证明方法、系统及介质 | |
| CN112464212B (zh) | 基于成熟复杂业务系统的数据权限控制改造方法 | |
| CN111291001B (zh) | 计算机文件的读取方法、装置、计算机系统及存储介质 | |
| CN106611135A (zh) | 一种存储数据完整性验证及恢复方法 | |
| US11238157B2 (en) | Efficient detection of ransomware attacks within a backup storage environment | |
| US9054864B2 (en) | Method and apparatus of securely processing data for file backup, de-duplication, and restoration | |
| CN115935414A (zh) | 基于区块链的数据校验方法、装置、电子设备和存储介质 | |
| Suganya et al. | Enhancing security for storage services in cloud computing | |
| CN111460436A (zh) | 一种基于区块链的非结构化数据操作方法和系统 | |
| CN114756510A (zh) | 计算机文件数据匹配方法、装置、计算机设备及存储介质 | |
| AU2021105507A4 (en) | Platform independent backup and restore for mobile devices using blockchain technology | |
| CN115277668B (zh) | 一种基于以太坊和星际文件系统的云文件动态完整性保护和验证方法 | |
| Awale | Secure Auditing and Data Deduplication in the Cloud | |
| Chaudhry et al. | Impact of Factory Reset on Android Devices | |
| US20200409571A1 (en) | Ensuring data authenticity using notary as a service | |
| CN117768114A (zh) | 一种密钥派生方法及安全架构系统 | |
| CN117235767A (zh) | 一种文档管理方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Country or region before: China Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |