CN111783077A - TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质 - Google Patents
TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质 Download PDFInfo
- Publication number
- CN111783077A CN111783077A CN202010540168.7A CN202010540168A CN111783077A CN 111783077 A CN111783077 A CN 111783077A CN 202010540168 A CN202010540168 A CN 202010540168A CN 111783077 A CN111783077 A CN 111783077A
- Authority
- CN
- China
- Prior art keywords
- encryption
- password
- truecrypt
- file
- container
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及信息安全技术领域,本发明公开了一种TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质,其中口令恢复方法包括:(1)快速识别TrueCrypt加密容器,搜索出可疑度较高的加密容器;(2)提取加密容器的头部数据,并按照TrueCrypt密文数据组织结构进行格式字段解析,解析出用于口令破解的参数字段;(3)利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典,破解加密容器的口令。本发明能自动高效地发现目标计算机上存在的TrueCrypt加密文件卷,消除了以前依靠人工检测方法效率低下的困难,尤其是磁盘上文件众多的情况下优势更加明显。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质。
背景技术
TrueCrypt是一种知名的磁盘加密软件,该软件在数据保护方面有三个特色:(1)采用高强度加密算法AES、Twofish、Serpent以及它们的级联模式进行磁盘数据加密;(2)利用分区和文件卷的隐藏数据区加密方法提供可否认加密的能力,在用户受到人身威胁时可交出伪装的口令,从而保护真正的重要数据。(3)加解密操作自动在内存中高效运行,对用户完全透明化。TrueCrypt软件通过创建全盘、分区、文件卷等类型的加密容器来实现对磁盘数据进行加密,加密密钥通过用户设置的口令和密钥导出函数计算得到,要访问原始的明文数据必须输入正确的口令。
TrueCrypt提供的高安全强度的数据加密保护给司法电子数据取证和用户口令遗忘情况下的明文数据恢复带来了很大的困难。研究者们从安全审查的多个不同角度对TrueCrypt的脆弱性进行了分析,希望能利用这些安全弱点来解密或还原出明文数据。Balducci等人对TrueCrypt的源码进行了审计,但仅仅发现了其中AES算法实现可能会受到缓存计时攻击、卷头的密文数据无认证性等四个不太严重的安全威胁。Ubuntu PrivacyRemix团队指出在选择使用密钥参数文件keyfile计算加密卷头部数据区的加密密钥时存在一个理论上的攻击方法,可以利用精心构造的keyfile使得口令通过混淆该文件后结果不变,即与不使用keyfile时得到的加密密钥相同。该攻击方法仅仅是理论的而实际中难以实现,这是因为攻击者要求能控制目标计算机上的任意文件从而保证被攻击者选择到这样精心准备的keyfile。Forshaw指出了TrueCrypt安装在Windows系统时的驱动程序有两个缺陷,原理上攻击者可以通过这些缺陷实现权限提升,实际中必须在共享计算机的操作系统中执行一些特定准备的代码,这样的攻击条件难以达到。数据取证的专业公司Elcomsoft和Passware研究了加密容器的加载过程,提出了从系统休眠文件和内存中获取加密密钥的方法,该方法也很难适用于真实的取证场景,因为取证人员通常面临的都是加密容器已卸载甚至关机状态的计算机。Davies等人研究了数据取证时TrueCrypt软件本身的使用痕迹发现技术,指出可以从操作系统注册表和磁盘主引导记录中提取该软件的安装信息。Hargreaves研究了隐藏文件卷的探测问题,由于密文状态的文件卷的隐藏数据区域并没有特定的数据特征,隐藏文件卷是否存在仍然无法确定。金涛等人开展了TrueCrypt加密容器的取证研究,给出了一些搜索加密容器的方法。在TrueCrypt加密机制分析和口令恢复方面,李晖分析了旧版本LRW加密模式下的加密流程和口令验证条件,分析结果已不适用于后来的软件版本,目前软件稳定版本7.1.a中的加密模式更改为XTS模式,LRW模式已被废弃。张李军等人分析了文件卷的密码算法使用方式,给出了加密文件卷头部数据的提取方法和口令的破解框架,但未对全盘和分区加密的情况进行分析。
综合分析已有的还原TrueCrypt加密数据的方法,通过破解和恢复加密容器口令更加适用于真实的数据取证环境和个人口令遗忘的情况,是一种实际可操作的对加密数据还原的技术手段。
当前针对TrueCrypt加密软件的口令恢复主要存在以下问题:
(1)缺乏加密文件卷的快速搜索和识别方法。由于加密文件卷的密文数据并没有特定的标识特征,并且文件的后缀名可以是任何常用的文件类型,如何在硬盘上数量众多的文件中快速发现加密文件卷是需要解决的首要问题。
(2)未给出各种类型加密容器的头部数据提取区域。加密容器的头部数据是进行口令破解的必备数据,现有研究只给出了非隐藏加密卷的头部提取区域(文件卷开头的512字节),还需要确定全盘、分区、隐藏卷等其他各种类型的头部数据提取区域。
(3)口令破解的成功率较低。现有口令破解方法一般采用通用的口令字典和暴力破解的方式,破解的成功率比较低,难以满足数据取证的实际需求。
发明内容
为了解决上述问题,本发明提出一种TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质,可用于司法电子数据取证和个人遗忘口令等场景下TrueCrypt加密容器的口令破解,从而可以进一步利用恢复的口令打开加密容器获取到原始的明文数据。
一种TrueCrypt加密软件口令恢复方法,包括以下步骤:
步骤一:快速识别TrueCrypt加密容器,搜索出可疑度较高的加密容器;加密容器识别包括对加密全盘、加密分区和加密文件卷三种容器形式的识别;
步骤二:提取加密容器的头部数据,并按照TrueCrypt密文数据组织结构进行格式字段解析,解析出用于口令破解的参数字段;
步骤三:利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典,破解加密容器的口令。
进一步的,加密全盘的识别方法包括:如果在启动计算机时出现TrueCrypt BootLoader和输入口令的提示,则磁盘使用了全盘加密。
进一步的,加密分区的识别方法包括:如果不是全盘加密,则计算机操作系统能正常启动,从软件安装记录或注册表确认是否安装了TrueCrypt;在确认安装了TrueCrypt后,若点击某个分区不显示分区大小,并且操作系统提示该分区未被格式化,则该分区高概率为TrueCrypt的加密分区。
进一步的,加密文件卷的识别方法包括:
检查文件大小是否为512字节的整数倍,若不是,则不认为是TrueCrypt的加密文件卷;若文件大小过小,则也不认为是TrueCrypt的加密文件卷;
检查文件签名,若文件签名是已知的文件类型,则不认为是TrueCrypt的加密文件卷;所述文件签名指文件开头位置标识一个文件类型的几个特征字节;
计算文件的信息熵,若低于门限值,则不认为是TrueCrypt的加密文件卷;设文件含有N个字节,不同的字节一共有n个,数据中每个字节Ci的数量为Ni,则字节Ci出现的频率为Pi=Ni/N;记文件的信息熵为E,利用以下公式计算出文件的信息熵E:
E=-Sum(Pi*log(Pi))
其中log表示以2为底的对数运算,Sum表示求和运算,求和的指标从1到n;
若文件大小、文件签名和文件的信息熵均满足加密文件卷的识别方法的判定条件,且不能被文件类型对应的应用程序正常打开,则该文件高概率为TrueCrypt的加密文件卷。
进一步的,信息熵的门限值包括7.9。
进一步的,步骤二包括以下子步骤:
提取加密容器中连续的512字节的头部数据;加密容器的头部数据提取的开始位置,采用相对加密容器第0个数据的偏移量来表示;头部数据提取后,按照TrueCrypt密文数据组织结构对512字节的头部数据进行解析,得到用于口令破解的参数字段,包括随机的salt字段、版本标识字段和CRC32校验字段。
进一步的,目标人员的社会工程学信息包括目标人员的个人详细信息、以前使用过的口令和其他应用软件中使用的口令。
进一步的,步骤三中采用概率上下文无关口令生成模型或马尔科夫口令生成模型生成定向智能口令字典。
一种TrueCrypt加密软件的加密数据取证系统,包括:
加密容器快速搜索模块:自动化快速搜索目标计算机中所有的文件,显示出所有高度可疑的TrueCrypt加密容器;
容器头部数据提取模块:自动提取出加密容器的头部数据,并解析出用于口令破解的参数字段;
定向智能口令生成模块:利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典;
容器口令高效破解模块:利用定向智能口令字典进行口令破解,找出加密容器的正确口令;
容器明文数据提取模块:利用TrueCrypt软件和正确口令将加密容器打开,复制出加密容器内所有的原始明文数据。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述TrueCrypt加密软件口令恢复方法的步骤。
本发明的有益效果在于:
(1)本发明能自动高效地发现目标计算机上存在的TrueCrypt加密文件卷,消除了以前依靠人工检测方法效率低下的困难,尤其是磁盘上文件众多的情况下优势更加明显。
(2)本发明明确地指出了各种TrueCrypt加密容器的头部数据提取位置,涵盖了TrueCrypt提供的普通加密和隐藏加密等两种方式,有效地解决了已有研究中只能提取文件卷普通加密区的头部数据的问题。
(3)本发明中提出的利用定向智能口令字典破解加密容器口令的技术能较大地提高口令恢复的成功概率,弥补了现有对加密容器口令破解时成功率不高的缺陷,为电子数据取证和个人遗忘口令恢复提供有效的技术手段。
(4)本发明的TrueCrypt加密数据取证系统提供了从加密容器发现到明文数据还原的全部功能,且系统容易实现,非常适用于实际场景下的电子数据取证。
(5)本发明提出了一套识别TrueCrypt软件产生的全盘加密、分区加密、文件卷加密等各种加密容器的高效方法,实现了加密容器的快速发现能力。
附图说明
图1TrueCrypt加密软件的口令恢复整体流程;
图2TrueCrypt加密全盘的识别;
图3TrueCrypt加密分区的识别;
图4常见文件类型的文件签名;
图5TrueCrypt加密容器头部数据提取位置;
图6TrueCrypt加密容器口令破解流程;
图7定向智能口令字典生成;
图8TrueCrypt加密数据取证系统组成。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供了一种TrueCrypt加密软件口令恢复方法,如图1所示,包括以下步骤:
步骤一:快速识别TrueCrypt加密容器,搜索出可疑度较高的加密容器;加密容器识别包括对加密全盘、加密分区和加密文件卷三种容器形式的识别;
步骤二:提取加密容器的头部数据,并按照TrueCrypt密文数据组织结构进行格式字段解析,解析出用于口令破解的参数字段;
步骤三:利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典,破解加密容器的口令。
在本发明的一个优选实施例中,加密全盘的识别方法包括:如果在启动计算机时出现TrueCrypt Boot Loader和输入口令的提示,则磁盘使用了全盘加密,如图2所示。
在本发明的一个优选实施例中,加密分区的识别方法包括:如果不是全盘加密,则计算机操作系统能正常启动,从软件安装记录或注册表确认是否安装了TrueCrypt;在确认安装了TrueCrypt后,若点击某个分区不显示分区大小,并且操作系统提示该分区未被格式化,如图3所示,则该分区高概率为TrueCrypt的加密分区。
由于文件卷的创建者可以选择任意类型的文件,并且加密完成后的文件卷所有数据(密文)都可以看成是随机数据,不存在任何特定的字段特征。实际中因为文件数量大,这就需要自动化搜索和识别的技术。
在本发明的一个优选实施例中,提出下面三种加密文件卷的识别方法,这三种识别方法的综合使用能以很大概率确定一个文件是否是TrueCrypt文件卷:
(a)由于文件卷大小为512字节整数倍,因此可以利用文件大小迅速排除掉不满足该条件的文件,即检查文件大小是否为512字节的整数倍,若不是,则不认为是TrueCrypt的加密文件卷。此外,由于加密卷是用来存储用户认为比较重要的一些文件的,所以过小的文件也可以排除,实际中可以只考虑50M或100M以上的文件,即若文件大小过小,则也不认为是TrueCrypt的加密文件卷;
(b)检查文件签名,若文件签名是已知的文件类型,则不认为是TrueCrypt的加密文件卷,其中文件签名指文件开头位置标识一个文件类型的几个特征字节,由于TrueCrypt文件卷的开头位置字节都是随机数,所以几乎不可能和已知文件类型的连续的几个特征字节匹配上,常见文件类型的文件签名如图4所示;
(c)计算文件的信息熵,若低于门限值,则不认为是TrueCrypt的加密文件卷;设文件含有N个字节,不同的字节一共有n个,数据中每个字节Ci的数量为Ni,则字节Ci出现的频率为Pi=Ni/N;记文件的信息熵为E,利用以下公式计算出文件的信息熵E:
E=-Sum(Pi*log(Pi))
其中log表示以2为底的对数运算,Sum表示求和运算,求和的指标从1到n。
文件的信息熵值本质上衡量了一个文件数据的随机性和复杂度。一个有意义的明文数据文件的熵值会偏低,而类似于TrueCrypt文件卷的密文数据可以认为都是随机值,从而文件熵值较高。实测表明,设置文件的熵值门限值为7.9比较合适,即文件熵值低于7.9的文件都可以排除。计算文件的熵值时,如果文件比较大(大于100M以上),则可以只取前面100M进行计算。
实际中可以综合使用(a)、(b)、(c)三种识别方法,若一个文件全部通过了这三种识别方法,并且不能被文件类型对应的应用程序正常打开,则该文件几乎能肯定就是TrueCrypt的文件卷。这三种识别方法都可以进行编程从而实现自动化的搜索,大大提高了数据取证过程中的加密卷识别效率。
在本发明的一个优选实施例中,步骤二包括以下子步骤:
由于加密容器的头部数据是破解TrueCrypt容器口令的必要数据,根据对TrueCrypt加密机制的分析,只需要提取连续的512字节的头部数据即可。不同类型的加密容器的头部数据提取位置不同,需要注意的是,即使对同一种类型的加密容器而言,数据区还分为普通数据区和隐藏数据区,这两种形态数据区的头部数据提取位置是不同的。经过分析,本实施例给出所有加密容器的头部数据提取的开始位置,采用相对加密容器第0个数据的偏移量来表示,如图5所示。头部数据提取后,按照TrueCrypt密文数据组织结构对512字节的头部数据进行解析,得到随机的salt字段、版本标识字段、CRC32校验字段等数据,这些数据将用于口令破解过程中的密钥计算和正确性验证。
在本发明的一个优选实施例中,步骤三包括以下子步骤:
提取加密容器头部数据并解析后,就可以利用设计的口令破解算法尝试口令的破解,口令破解流程如图6所示。现有的口令破解的候选口令来源一般是通用的口令字典,如果口令字典未能破解出正确口令则继续使用暴力破解的方法。通用的口令字典来自于网络上或者以前数据取证时收集到的口令,针对特定的目标人员一般口令破解成功率比较低。而暴力破解通常只能尝试口令长度较短的口令,这是因为随着口令长度的增加,需要尝试的口令数量呈指数级增长。为了提高口令破解成功率,本实施例采用定向智能口令字典生成技术生成针对目标人物的高成功概率的口令字典,从而大幅提高口令破解成功率。定向智能口令生成是将目标人物的社会工程学信息(包括姓名、生日、性别、年龄、住址、家人相关信息,以前使用过的口令、其他应用软件中使用的口令等信息)在通用的口令字典的基础上,采用概率上下文无关、马尔科夫等口令生成等模型生成新的口令字典,如图7所示。经过实例证明,定向智能口令字典能有效地提高特定目标用户口令的破解成功率。
为了便于实际场景中TrueCrypt加密数据的高效取证,利用上述口令恢复方法,本实施例提供了一套完整的从TrueCrypt加密容器发现到明文数据还原的加密数据取证系统。该系统包括加密容器快速搜索、容器头部数据提取、定向智能口令生成、容器口令高效破解以及容器明文数据提取等五个模块,系统组成如图8所示。五个模块的功能如下:
加密容器快速搜索模块:自动化快速搜索目标计算机中所有的文件,显示出所有高度可疑的TrueCrypt加密容器;
容器头部数据提取模块:自动提取出加密容器的头部数据,并解析出用于口令破解的参数字段;
定向智能口令生成模块:利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典;
容器口令高效破解模块:利用定向智能口令字典进行口令破解,找出加密容器的正确口令;
容器明文数据提取模块:利用TrueCrypt软件和正确口令将加密容器打开,复制出加密容器内所有的原始明文数据。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种TrueCrypt加密软件口令恢复方法,其特征在于,包括以下步骤:
步骤一:快速识别TrueCrypt加密容器,搜索出可疑度较高的加密容器;加密容器识别包括对加密全盘、加密分区和加密文件卷三种容器形式的识别;
步骤二:提取加密容器的头部数据,并按照TrueCrypt密文数据组织结构进行格式字段解析,解析出用于口令破解的参数字段;
步骤三:利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典,破解加密容器的口令。
2.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法,其特征在于,加密全盘的识别方法包括:如果在启动计算机时出现TrueCrypt Boot Loader和输入口令的提示,则磁盘使用了全盘加密。
3.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法,其特征在于,加密分区的识别方法包括:如果不是全盘加密,则计算机操作系统能正常启动,从软件安装记录或注册表确认是否安装了TrueCrypt;在确认安装了TrueCrypt后,若点击某个分区不显示分区大小,并且操作系统提示该分区未被格式化,则该分区高概率为TrueCrypt的加密分区。
4.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法,其特征在于,加密文件卷的识别方法包括:
检查文件大小是否为512字节的整数倍,若不是,则不认为是TrueCrypt的加密文件卷;若文件大小过小,则也不认为是TrueCrypt的加密文件卷;
检查文件签名,若文件签名是已知的文件类型,则不认为是TrueCrypt的加密文件卷;所述文件签名指文件开头位置标识一个文件类型的几个特征字节;
计算文件的信息熵,若低于门限值,则不认为是TrueCrypt的加密文件卷;设文件含有N个字节,不同的字节一共有n个,数据中每个字节Ci的数量为Ni,则字节Ci出现的频率为Pi=Ni/N;记文件的信息熵为E,利用以下公式计算出文件的信息熵E:
E=-Sum(Pi*log(Pi))
其中log表示以2为底的对数运算,Sum表示求和运算,求和的指标从1到n;
若文件大小、文件签名和文件的信息熵均满足加密文件卷的识别方法的判定条件,且不能被文件类型对应的应用程序正常打开,则该文件高概率为TrueCrypt的加密文件卷。
5.根据权利要求4所述的一种TrueCrypt加密软件口令恢复方法,其特征在于,信息熵的门限值包括7.9。
6.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法,其特征在于,步骤二包括以下子步骤:
提取加密容器中连续的512字节的头部数据;加密容器的头部数据提取的开始位置,采用相对加密容器第0个数据的偏移量来表示;头部数据提取后,按照TrueCrypt密文数据组织结构对512字节的头部数据进行解析,得到用于口令破解的参数字段,包括随机的salt字段、版本标识字段和CRC32校验字段。
7.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法,其特征在于,目标人员的社会工程学信息包括目标人员的个人详细信息、以前使用过的口令和其他应用软件中使用的口令。
8.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法,其特征在于,步骤三中采用概率上下文无关口令生成模型或马尔科夫口令生成模型生成定向智能口令字典。
9.一种TrueCrypt加密软件的加密数据取证系统,其特征在于,包括:
加密容器快速搜索模块:自动化快速搜索目标计算机中所有的文件,显示出所有高度可疑的TrueCrypt加密容器;
容器头部数据提取模块:自动提取出加密容器的头部数据,并解析出用于口令破解的参数字段;
定向智能口令生成模块:利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典;
容器口令高效破解模块:利用定向智能口令字典进行口令破解,找出加密容器的正确口令;
容器明文数据提取模块:利用TrueCrypt软件和正确口令将加密容器打开,复制出加密容器内所有的原始明文数据。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010540168.7A CN111783077A (zh) | 2020-06-15 | 2020-06-15 | TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010540168.7A CN111783077A (zh) | 2020-06-15 | 2020-06-15 | TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111783077A true CN111783077A (zh) | 2020-10-16 |
Family
ID=72756488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010540168.7A Pending CN111783077A (zh) | 2020-06-15 | 2020-06-15 | TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111783077A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112257433A (zh) * | 2020-12-23 | 2021-01-22 | 四川大学 | 基于马尔可夫链和神经网络的口令字典生成方法和系统 |
CN112487147A (zh) * | 2020-12-02 | 2021-03-12 | 中国电子科技集团公司第三十研究所 | 一种密码破解算法自动匹配方法、系统、计算机程序及存储介质 |
CN113239378A (zh) * | 2021-05-17 | 2021-08-10 | 中国电子科技集团公司第三十研究所 | BitLocker加密卷的口令恢复方法、设备及介质 |
CN116992433A (zh) * | 2023-09-28 | 2023-11-03 | 江苏友谱信息科技有限公司 | 一种基于web应用系统的密码破解攻击检测方法及组件 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1694394A (zh) * | 2005-04-14 | 2005-11-09 | 上海交通大学 | 文件口令的破解方法 |
CN101634992A (zh) * | 2009-06-11 | 2010-01-27 | 上海交通大学 | Ntfs文件系统下轻量级文件加密及其解密恢复方法 |
CN103679066A (zh) * | 2013-04-26 | 2014-03-26 | 厦门密安信息技术有限责任公司 | 可信保密磁盘的实现方法 |
CN104615945A (zh) * | 2015-02-04 | 2015-05-13 | 中国电子科技集团公司第三十研究所 | 一种基于多gpu破解设备的密码破解方法和系统 |
CN105337722A (zh) * | 2014-06-19 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 数据加密方法及装置 |
US9438419B1 (en) * | 2011-07-12 | 2016-09-06 | The Florida State University Research Foundation, Inc. | Probabilistic password cracking system |
US20170230179A1 (en) * | 2016-02-05 | 2017-08-10 | Mohammad Mannan | Password triggered trusted encrytpion key deletion |
CN108616512A (zh) * | 2018-04-04 | 2018-10-02 | 广州慧睿思通信息科技有限公司 | 一种改进的ppt2003文件破译方法和装置 |
CN109684792A (zh) * | 2018-12-27 | 2019-04-26 | 无锡京和信息技术有限公司 | 一种计算机软件安全加解密管理系统 |
-
2020
- 2020-06-15 CN CN202010540168.7A patent/CN111783077A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1694394A (zh) * | 2005-04-14 | 2005-11-09 | 上海交通大学 | 文件口令的破解方法 |
CN101634992A (zh) * | 2009-06-11 | 2010-01-27 | 上海交通大学 | Ntfs文件系统下轻量级文件加密及其解密恢复方法 |
US9438419B1 (en) * | 2011-07-12 | 2016-09-06 | The Florida State University Research Foundation, Inc. | Probabilistic password cracking system |
CN103679066A (zh) * | 2013-04-26 | 2014-03-26 | 厦门密安信息技术有限责任公司 | 可信保密磁盘的实现方法 |
CN105337722A (zh) * | 2014-06-19 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 数据加密方法及装置 |
CN104615945A (zh) * | 2015-02-04 | 2015-05-13 | 中国电子科技集团公司第三十研究所 | 一种基于多gpu破解设备的密码破解方法和系统 |
US20170230179A1 (en) * | 2016-02-05 | 2017-08-10 | Mohammad Mannan | Password triggered trusted encrytpion key deletion |
CN108616512A (zh) * | 2018-04-04 | 2018-10-02 | 广州慧睿思通信息科技有限公司 | 一种改进的ppt2003文件破译方法和装置 |
CN109684792A (zh) * | 2018-12-27 | 2019-04-26 | 无锡京和信息技术有限公司 | 一种计算机软件安全加解密管理系统 |
Non-Patent Citations (4)
Title |
---|
LIJUN ZHANG等: "An Extensive Analysis of TrueCrypt Encryption Forensics", 《CSAE 2019: PROCEEDINGS OF THE 3RD INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND APPLICATION ENGINEERING》 * |
南江 等: "TrueCrypt加密容器的取证方法研究", 《网络安全技术与应用》 * |
沈长达 等: "TrueCrypt加密容器快速检测技术", 《信息网络安全》 * |
金涛等: "TrueCrypt加密容器的取证研究", 《警察技术》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112487147A (zh) * | 2020-12-02 | 2021-03-12 | 中国电子科技集团公司第三十研究所 | 一种密码破解算法自动匹配方法、系统、计算机程序及存储介质 |
CN112487147B (zh) * | 2020-12-02 | 2023-05-23 | 中国电子科技集团公司第三十研究所 | 一种密码破解算法自动匹配方法、系统、计算机程序及存储介质 |
CN112257433A (zh) * | 2020-12-23 | 2021-01-22 | 四川大学 | 基于马尔可夫链和神经网络的口令字典生成方法和系统 |
CN112257433B (zh) * | 2020-12-23 | 2021-05-14 | 四川大学 | 基于马尔可夫链和神经网络的口令字典生成方法和系统 |
CN113239378A (zh) * | 2021-05-17 | 2021-08-10 | 中国电子科技集团公司第三十研究所 | BitLocker加密卷的口令恢复方法、设备及介质 |
CN116992433A (zh) * | 2023-09-28 | 2023-11-03 | 江苏友谱信息科技有限公司 | 一种基于web应用系统的密码破解攻击检测方法及组件 |
CN116992433B (zh) * | 2023-09-28 | 2023-12-01 | 江苏友谱信息科技有限公司 | 一种基于web应用系统的密码破解攻击检测方法及组件 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111783077A (zh) | TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质 | |
Li et al. | Android malware clustering through malicious payload mining | |
AU2010202627B2 (en) | Automated forensic document signatures | |
Law et al. | Protecting digital data privacy in computer forensic examination | |
US20100027780A1 (en) | Systems and methods for anonymizing personally identifiable information associated with epigenetic information | |
Gül et al. | A survey on anti-forensics techniques | |
KR101033511B1 (ko) | 개인정보 보호 방법 및 이를 위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체 | |
CN108256329B (zh) | 基于动态行为的细粒度rat程序检测方法、系统及相应的apt攻击检测方法 | |
Khan et al. | Digital forensics and cyber forensics investigation: security challenges, limitations, open issues, and future direction | |
Ali et al. | Data loss prevention by using MRSH-v2 algorithm | |
Haggerty et al. | Forsigs: Forensic signature analysis of the hard drive for multimedia file fingerprints | |
EP3461055B1 (en) | System and method for secure outsourced annotation of datasets | |
Toraskar et al. | Efficient computer forensic analysis using machine learning approaches | |
Singh et al. | Digital Forensics and Cybersecurity Tools | |
Kayarkar et al. | Mining frequent sequences for emails in cyber forensics investigation | |
Kayabaş et al. | Cyber wars and cyber threats against mobile devices: Analysis of mobile devices | |
US8205263B1 (en) | Systems and methods for identifying an executable file obfuscated by an unknown obfuscator program | |
Conner | A Review of the Challenges Anti-Forensics Present to the Viability of File Recovery | |
Kumar et al. | Analysis on Digital Forensics Challenges and Anti-forensics Techniques in Cloud Computing | |
Krishna et al. | Investigating the role of applied cryptography algorithms for malware detection | |
WO2024093290A1 (zh) | 勒索软件的检测方法及装置 | |
Singh et al. | Working efficiency of the sleuth kit in forensic data recovery: a review | |
CN113032180B (zh) | 一种废旧手机清除实验的设计方法 | |
Ayeni | A Supervised Machine Learning Algorithm for Detecting Malware | |
Thurner et al. | Improving the detection of encrypted data on storage devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201016 |