CN112948859A - Linux系统下基于LUKS对硬盘的高强度加密方法和系统 - Google Patents
Linux系统下基于LUKS对硬盘的高强度加密方法和系统 Download PDFInfo
- Publication number
- CN112948859A CN112948859A CN202110241754.6A CN202110241754A CN112948859A CN 112948859 A CN112948859 A CN 112948859A CN 202110241754 A CN202110241754 A CN 202110241754A CN 112948859 A CN112948859 A CN 112948859A
- Authority
- CN
- China
- Prior art keywords
- hard disk
- program
- self
- encryption
- starting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000008569 process Effects 0.000 claims abstract description 35
- 238000005192 partition Methods 0.000 claims abstract description 29
- 238000005336 cracking Methods 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 13
- 238000013507 mapping Methods 0.000 claims description 8
- 101150108030 ppiD gene Proteins 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 11
- 238000011084 recovery Methods 0.000 description 5
- 230000007547 defect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种Linux系统下基于LUKS对硬盘的高强度加密方法和系统,所述方法包括以下步骤:S1,首先利用cryptsetup工具选择一个硬盘分区进行加密;S2,加密硬盘后首先备份头部信息,然后再删除掉该硬盘的头部信息数据;S3,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;S4,在开机解密硬盘的时候,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、输入密钥解密、挂载硬盘。所述方法可用于保护封闭式的信息技术机器盒子产品,防止机器盒子上面的重要数据被他人盗取;杜绝了暴力破解,大大的提高了硬盘数据的安全性。
Description
技术领域
本发明涉及计算机与通信领域,具体涉及一种在Linux系统下基于LUKS对硬盘的高强度加密技术。
背景技术
硬盘加密,是指将计算机或者服务器的硬盘区域进行加密,防止数据信息泄露。
对于一些封闭式的信息技术产品盒子,比如基于Linux系统的路由器或者防火墙。路由器插上网线,就可以利用它上网。但是路由器里面安装的什么管理系统、系统上安装了什么软件、用什么原理和技术实现了网络路由。用户不需要知道上面的问题,也能正确使用路由器。
对这种类似于路由器的封闭式的机器盒子,正常情况下,别人只需要制作一个usbCD,就能挂载该硬盘,可以浏览到硬盘里面一切数据。针对这种情况,可以对其硬盘加密,防止重要数据泄露。
LUKS为Linux硬盘分区加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令。因为它的加密密钥独立于口令,所以如果口令失密,我们可以迅速改变口令而无需重新加密整个硬盘。通过提供一个标准的磁盘上的格式,它拥有很高的兼容性,而且还提供了多个用户密码的安全管理。
LUKS也是一种基于设备映射机制的加密方案,可以使用工具cryptsetup对硬盘进行LUKS加密。
cryptsetup工具集成了现有的LUKS加密,它还提供了一套加密后开机自动解密方法,不过这种傻瓜式的自动解密会让密钥文件以明文的方式显示在破解者面前,或者加密程度低,很容易被暴力破解,对硬盘内数据的防护能力严重不足。而且因为开机后需要对加密的数据区域进行读写,所以必须设置开机自动解密。
传统的LUKS加密的缺点:
1、加密后的密钥会以明文的方式记录在一个文件当中,安全性低。
2、挂载硬盘分区存在缺陷,被加密的硬盘分区的全路径,密钥文件的全路径会以明文的方式记录在/etc/crypttab文件当中,很容易被破解者破解。
3、传统LUKS加密虽然提供某些高强度加密的方式,但解密的时候必须人工手动才能解密成功,费时费力。
4、传统的LUKS加密容易被专门的软件给暴力破解。
图1示出了传统LUKS硬盘加密和开机解密流程图。其加密流程依次为:格式化需加密的分区、对分区进行加密、将加密分区映射为一个虚拟磁盘、格式化虚拟磁盘。其开机自动解密流程依次为:创建密钥文件、分区写入挂载配置文件、更改开机解密配置文件、开机自动读取配置文件、完成解密和自动挂载分区功能。
传统的LUKS加密优点是操作简便,只需要几个简单步骤就可以完成加密和解密流程,但缺点也非常明显,由于密钥文件会储存在一个固定的文件当中,破解者能够很轻易的找到密钥从而破解硬盘数据。这种加密方式只能阻挡一些门外汉的入侵,在真正强大的破解者面前显得不堪一击。
图2示出了现有技术中破解LUKS加密后的硬盘流程示意图。第一种破解方法是直接利用usbCD挂载硬盘,获取固定路径的配置文件信息,得到密钥文件路径,直接读取到密钥明文。传统的LUKS加密方法无法改善这一缺点。
第二种方法是暴力破解硬盘数据。
虽然LUKS通过在密钥生成过程中使用数千次哈希函数迭代来提供强大的保护,以防止暴力破解,但与过去相比,破解者在密码恢复破解方面有了很大的提高。由于GPU加速、分布式和云计算的使用,强制输入密码的速度大大加快。通过Elcomsoft DistributedPassword Recovery,最多可使用10000台计算机和按需云实例来破解单个密码。
为了破解对加密设备中存储的数据的访问,必须首先恢复原始的纯文本密码。涉及多个步骤,且需要使用几种不同的工具,破解LUKS加密后硬盘步骤如下。
(1)使用Elcomsoft Forensic Disk Decryptor或Elcomsoft System Recovery从加密的设备或磁盘映像中提取加密元数据。
(2)使用提取的元数据(一个小文件)通过Elcomsoft Distributed PasswordRecovery对密码发起破解。
(3)找到密码后,挂载磁盘分区或解密数据。
(4)使用工具Elcomsoft Distributed Password Recovery和ElcomsoftForensic Disk Decryptor对硬盘进行分布式和云计算性能集成后的暴力破解。
基于这种情况,本发明研究和提出了一种基于LUKS对硬盘的高强度加密技术。针对传统的LUKS加密,本文对上面列出的所有缺点都进行了改善,真正的实现了对硬盘的高强度加密。本发明主要可用于保护封闭式的信息技术机器盒子产品,防止机器盒子上面的重要数据被他人盗取。
发明内容
针对现有技术存在的问题,本发明的目的在于解决现有技术中机器盒子产品中的重要数据容易被他人盗取的技术问题,提供一种Linux系统下基于LUKS对硬盘的高强度加密方法和系统,实现了对硬盘的高强度加密,保护封闭式的信息技术机器盒子产品内重要数据的安全。
本发明提供一种Linux系统下基于LUKS对硬盘的高强度加密方法,所述方法包括以下步骤:
S1,首先选择一个硬盘分区进行加密;
S2,加密硬盘后首先备份头部信息,然后再删除掉该硬盘的头部信息数据;
S3,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;
S4,在开机解密硬盘的时候,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、输入密钥解密、挂载硬盘。
进一步,步骤S1中,利用cryptsetup工具首先选择一个硬盘分区进行加密;这里硬盘分区为/dev/sda1,加密执行的命令如下:cryptsetup luksFormat/dev/sdb。
进一步,步骤S2中,加密硬盘后首先备份头部信息,然后再删除掉该硬盘的头部信息数据,具体命令如下:
备份头部信息命令:cryptsetup luksHeaderBackup/dev/sda1--header-backup-file file.txt
删除头部信息命令:head-c 1052672/dev/zero>/dev/sda1。
进一步,步骤S3中,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;只有init程序才能启动自启程序,使得而破解者在破解的时候不能运行这个自启C程序;
判断父进程是否为init程序的C代码如下:
int ppid=getppid();
if(ppid==1){}。
进一步,在步骤S3之后,给自启程序添加VMP壳。
进一步,添加VMP壳的方式如下:根据开发者提供的标签进行查找,定位到VMP标签标记的关键代码段,得到VMP关键代码段,需要VMP保护的关键代码段,进行反汇编、指令虚拟,使需要VMP保护的关键代码段中的每一个代码按照映射规则对应一个虚拟指令码,将虚拟指令码的每一条指令虚拟表示为多个驱动数据;同时,自定义用于驱动数据读取以及解释所述驱动数据的VMP解释引擎,该VMP解释引擎根据驱动数据的不同动态在原子操作指令集合中查找并选择对应的原子操作指令来解释驱动数据,将驱动数据、VMP解释引擎加入到文件中进行组合,形成具有虚拟节的保护后的VMP虚拟机文件。
进一步,步骤S4中,在开机解密硬盘的时候,只有当判断父进程为init时才启动,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、动态输入密钥解密硬盘、动态挂载硬盘,这些流程都以动态的方式进行,可以避免密钥以明文的方式暴露在破解者面前;在自启的C程序中,实现上述功能的关键是嵌入如下shell代码:
a.恢复硬盘头部信息:cryptsetup luksHeaderRestore/dev/sda1--header-backup-file file.txt
b.解密被加密后的硬盘分区:cryptsetup open/dev/sda1 jj
c.挂载硬盘分区:mount/dev/mapper/jj/mnt/。
进一步,所述的shell代码是明文,使用字符串加密算法对字符命令进行加密;使用字符串加密的方式如下:
A1、提取字符串常量,c语言风格字符串为字符数组格式,直接提取字符串本身;
A2、对提取出的字符串常量分别进行加密,包括:
a)提取字符串常量的值;
b)从预设的多种加密算法中,随机提取一种加密算法,并随机生成密钥,对字符串的值进行加密,获得字符串值经过加密后的密文;
c)将密文和密钥保存在常量区,并删除原字符串;
A3、为提取出的每一个字符串常量生成解密函数:创建与原字符串常量相同空间大小的全局变量;生成字符串解密函数;
A4、替换字符串引用,完成字符串加密操作;
A5、将处理后的中间文件编译为目标二进制文件,完成编译。
另一方面,本发明还提供一种Linux系统下基于LUKS对硬盘的高强度加密系统,所述系统包括:
加密单元,用于选择一个硬盘分区进行加密;
备份单元,用于备份头部信息,然后再删除掉该硬盘的头部信息数据;
编写单元,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;
解密单元,在开机解密硬盘的时候,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、输入密钥解密、挂载硬盘。
进一步,还包括保护单元,用于编写开机自启程序之后,给自启程序添加VMP壳。
由于传统方案加密后的硬盘数据几乎等于没有加密,非常容易被人破解。而本发明的方法加密后的硬盘,取消掉了以明文的方式储存密钥文件,将其改善为在C程序中输入密钥动态解密;限制了开机自启程序的运行,只有在开机的时候这个程序在能执行,其他情况下这个自启程序即使被运行,也不会执行原本的功能,从而显著的提高了破解难度;加入了反调试技术,让破解者难以调试破解程序;可以更安全的保护硬盘上数据,本发明主要可用于保护封闭式的信息技术机器盒子产品,防止机器盒子上面的重要数据被他人盗取;杜绝了暴力破解,大大的提高了硬盘数据的安全性。
附图说明
图1示出了现有技术中传统硬盘加密和开机解密流程示意图;
图2示出了现有技术中破解LUKS加密后的硬盘流程示意图;
图3示出了根据本发明的Linux系统下基于LUKS对硬盘的高强度加密方法和系统的结构和流程示意图。
具体实施方式
下面将结合附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
Linux:全称GNU/Linux,是一种免费使用和自由传播的类UNIX操作系统,是基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统,Linux继承了Unix以网络为核心的设计思想,是性能稳定的多用户网络操作系统。LUKS:全称Linux Unified Key Setup,它是Linux系统下硬盘分区加密的一种标准,通过提供标准的磁盘格式,它不仅可以促进发行版之间的兼容性,还可以提供对多个用户密码的安全管理,LUKS将必要的设置信息存储在分区信息首部中,是用户能够无缝传输或迁移其数据。
如图1所示,根据本发明的Linux系统下基于LUKS对硬盘的高强度加密方法,主要应用于保护及其盒子的内部信息,为了对硬盘高强度加密,本发明在Linux系统上采用如下实现方法:
S1,首先选择一个硬盘分区进行加密;
S2,加密硬盘后首先备份头部信息,然后再删除掉该硬盘的头部信息数据;
S3,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;
S4,在开机解密硬盘的时候,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、输入密钥解密、挂载硬盘;
在步骤S3中,编写开机自启程序之后,给自启程序添加VMP壳;
具体地,各个步骤的实施方式如下:
步骤S1中,利用cryptsetup工具首先选择一个硬盘分区进行加密;这里假设硬盘分区为/dev/sda1,加密执行的命令如下:cryptsetup luksFormat/dev/sdb
其中,Cryptsetup是一款可以使用LUKS标准的分区加密工具,在经过加密的块设备上再创建文件系统,然后再进行挂载使用,可以达到最底层的加密。它是一种设备的映射关系,用它把一个设备映射成另一个设备,然后对这个新的设备进行操作,并进行加密,这样就不会使原设备直接被使用,从而达到安全的技术效果。Cryptsetup工具加密的特点:加密后不能直接挂载;加密后硬盘丢失也不用担心数据被盗;加密后必须做映射才能挂载。
步骤S2中,加密硬盘后首先备份头部信息,然后再删除掉该硬盘的头部信息数据;这样可以杜绝破解者的暴力破解。
备份头部信息命令:cryptsetup luksHeaderBackup/dev/sda1--header-backup-file file.txt
删除头部信息命令:head-c 1052672/dev/zero>/dev/sda1
其中,暴力破解是指穷举出一切答案或者密码,一个一个的尝试破解软件或者数据。而删除掉硬盘的头部信息数据可以有效杜绝破解者对其进行暴力破解。
步骤S3中,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序。这种情况下,只有init程序才能启动自启程序,而破解者在破解的时候不能运行这个自启C程序,从而安全性得到了大大的提高。
判断父进程是否为init程序的C代码:
int ppid=getppid();
if(ppid==1){}
其中,init是Linux系统操作中的程序之一,它是一个由内核启动的用户级进程,内核会在过去曾使用过init的几个地方查找他它,它的正确位置是/sbin/init,如果内核找不到init,它就会试着运行/bin/sh,若果运行失败,系统的启动也会失败。内核自行启动(已经被载入内存,开始运行,并已初始化所有的设备驱动程序和数据结构等)之后,就通过启动一个用户级程序init的方式,完成引导进程,所以init始终是第一个进程,其进程编号始终为1。
在开机自启程序编写完成后,还设有如下附加步骤:
S3.1,给自启程序添加一个高强度的VMP壳,让破解者寸步难行。
其中,加壳处理其实是利用特殊的算法,对文件里的资源进行压缩,改变其原来的特征码,隐藏一些字符串等等,使一些资源编辑软件不能正常打开或者修改。通过在线编译及加壳处理,破解者破解采用上述方法加密的不同软件的PE结构均是不同的,大大提高了软件的破解难度。若进程中存在标识信息的待保护的代码段,则获取待保护的代码段并进行加密,得到加密代码,并对进程代码进行加壳处理。“获取待保护的代码段并进行加密,得到加密代码”具体包括:提取进程中待保护的代码段,使用加密算法进行加密,并保存为.dat文件。而后将加密代码保存,以便后续调用。简言之,加壳处理可以根据开发者的实际需要决定是否采用,加壳处理可以通过加壳工具来实现。
优选的,VMP(virtual machine protection,指代ARM指令虚拟化保护技术)壳是一种保护程序的高强度加密软件,被保护后的程序几乎无法被破解。它的原理在于抽出局部代码,转变为中间码,虚拟机引擎对中间码进行解释,替代CPU解释执行代码,然后跳转回源地址,每次执行都解释执行一次代码,虚拟机有一套自己的反编译算法去解释执行代码,所述反编译算法是根据程序的不同随机产生的。
添加一个高强度的VMP壳的操作如下:根据开发者提供的标签进行查找,定位到VMP标签标记的关键代码段,得到VMP关键代码段,需要VMP保护的关键代码段,进行反汇编、指令虚拟,使需要VMP保护的关键代码段中的每一个代码按照映射规则对应一个虚拟指令码,将虚拟指令码的每一条指令虚拟表示为多个驱动数据;与此同时,自定义用于驱动数据读取以及解释所述驱动数据的VMP解释引擎,该VMP解释引擎根据驱动数据的不同动态在原子操作指令集合中查找并选择对应的原子操作指令来解释驱动数据,将驱动数据、VMP解释引擎加入到文件中进行组合,形成具有虚拟节的保护后的VMP虚拟机文件。
步骤S4中,在开机解密硬盘的时候,只有当父进程为init时才启动,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、动态输入密钥解密硬盘、动态挂载硬盘,这些流程都以动态的方式进行,可以避免密钥以明文的方式暴露在破解者面前,让破解者知难而退。
在自启的C程序中,实现上述功能的关键是嵌入如下shell代码:
a.恢复硬盘头部信息:cryptsetup luksHeaderRestore/dev/sda1--header-backup-file file.txt
b.解密被加密后的硬盘分区:cryptsetup open/dev/sda1 jj
c.挂载硬盘分区:mount/dev/mapper/jj/mnt/
上述的shell代码都是明文,为了提高安全性,可以使用字符串加密算法对上述的字符命令进行加密。
其中,shell是一个用C语言编写的程序,它是用户使用Unix/Linux的桥梁。
可选择地,使用字符串加密的方式如下:
1、提取字符串常量,c语言风格字符串为字符数组格式,直接提取字符串本身;
2、对提取出的字符串常量分别进行加密,包括:
a)提取字符串常量的值;
b)从预设的多种加密算法中,随机提取一种加密算法,并随机生成密钥,对字符串的值进行加密,获得字符串值经过加密后的密文;
c)将密文和密钥保存在常量区,并删除原字符串。
3、为提取出的每一个字符串常量生成解密函数:创建与原字符串常量相同空间大小的全局变量;生成字符串解密函数;
4、替换字符串引用,完成字符串加密操作;
5、将处理后的中间文件编译为目标二进制文件,完成编译。
如此,可完成对上述shell代码的字符串加密操作。
由于传统方案加密后的硬盘数据几乎等于没有加密,非常容易被人破解。而本发明的方法加密后的硬盘可以更安全的保护硬盘上数据,杜绝了暴力破解,大大的提高了硬盘数据的安全性。
综上所述,根据本发明的Linux系统下基于LUKS对硬盘的高强度加密方法,其有益效果在于:
1.取消掉了以明文的方式储存密钥文件,将其改善为在C程序中输入密钥动态解密。
2.限制了开机自启程序的运行,只有在开机的时候这个程序在能执行,其他情况下这个自启程序即使被运行,也不会执行原本的功能,从而显著的提高了破解难度。
3.加入了反调试技术,让破解者难以调试破解程序。
此外,本发明实施例还提供一种Linux系统下基于LUKS对硬盘的高强度加密技术,包括加密单元,用于选择一个硬盘分区进行加密;
备份单元,用于备份头部信息,然后再删除掉该硬盘的头部信息数据;
编写单元,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;
解密单元,在开机解密硬盘的时候,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、输入密钥解密、挂载硬盘;
还包括保护单元,编写开机自启程序之后,给自启程序添加VMP壳。
本发明实施例可用于大多数计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述Linux系统下基于LUKS对硬盘的高强度加密方法实施例的各个过程,且能达到相同的技术效果。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random AccessMemory,简称RAM)、磁碟或者光盘等。
本领域内的技术人员应明白,本发明的实施例可提供的方法可以让本领域技术人员不需付出创造性劳动即可轻易实现对硬盘的高强度防护加密。
Claims (10)
1.Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,所述方法包括以下步骤:
S1,首先选择一个硬盘分区进行加密;
S2,加密硬盘后首先备份头部信息,然后再删除掉该硬盘的头部信息数据;
S3,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;
S4,在开机解密硬盘的时候,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、输入密钥解密、挂载硬盘。
2.根据权利要求1所述的Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,步骤S1中,利用cryptsetup工具首先选择一个硬盘分区进行加密;这里硬盘分区为/dev/sda1,加密执行的命令如下:cryptsetup luksFormat/dev/sdb。
3.根据权利要求1或2所述的Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,步骤S2中,加密硬盘后首先备份头部信息,然后再删除掉该硬盘的头部信息数据,具体命令如下:
备份头部信息命令:cryptsetup luksHeaderBackup/dev/sda1--header-backup-filefile.txt
删除头部信息命令:head-c 1052672/dev/zero>/dev/sda1。
4.根据权利要求3所述的Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,步骤S3中,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;只有init程序才能启动自启程序,使得破解者在破解的时候不能运行这个自启动C程序;
判断父进程是否为init程序的C代码如下:
int ppid=getppid();
if(ppid==1){}。
5.根据权利要求4所述的Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,
在步骤S3之后,给自启程序添加VMP壳。
6.根据权利要求5所述的Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,添加VMP壳的方式如下:根据开发者提供的标签进行查找,定位到VMP标签标记的关键代码段,得到VMP关键代码段,需要VMP保护的关键代码段,进行反汇编、指令虚拟,使需要VMP保护的关键代码段中的每一个代码按照映射规则对应一个虚拟指令码,将虚拟指令码的每一条指令虚拟表示为多个驱动数据;同时,自定义用于驱动数据读取以及解释所述驱动数据的VMP解释引擎,该VMP解释引擎根据驱动数据的不同动态在原子操作指令集合中查找并选择对应的原子操作指令来解释驱动数据,将驱动数据、VMP解释引擎加入到文件中进行组合,形成具有虚拟节的保护后的VMP虚拟机文件。
7.根据权利要求1-6任一项所述的Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,步骤S4中,在开机解密硬盘的时候,只有当判断父进程为init时才启动,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、动态输入密钥解密硬盘、动态挂载硬盘,这些流程都以动态的方式进行,可以避免密钥以明文的方式暴露在破解者面前;在自启的C程序中,实现上述功能的关键是嵌入如下shell代码:
a.恢复硬盘头部信息:cryptsetup luksHeaderRestore/dev/sda1--header-backup-file file.txt
b.解密被加密后的硬盘分区:cryptsetup open/dev/sda1 jj
c.挂载硬盘分区:mount/dev/mapper/jj/mnt/。
8.根据权利要求7所述的Linux系统下基于LUKS对硬盘的高强度加密方法,其特征在于,所述的shell代码是明文,使用字符串加密算法对字符命令进行加密;使用字符串加密的方式如下:
A1、提取字符串常量,c语言风格字符串为字符数组格式,直接提取字符串本身;
A2、对提取出的字符串常量分别进行加密,包括:
a)提取字符串常量的值;
b)从预设的多种加密算法中,随机提取一种加密算法,并随机生成密钥,对字符串的值进行加密,获得字符串值经过加密后的密文;
c)将密文和密钥保存在常量区,并删除原字符串;
A3、为提取出的每一个字符串常量生成解密函数:创建与原字符串常量相同空间大小的全局变量;生成字符串解密函数;
A4、替换字符串引用,完成字符串加密操作;
A5、将处理后的中间文件编译为目标二进制文件,完成编译。
9.Linux系统下基于LUKS对硬盘的高强度加密系统,其特征在于,所述系统包括:
加密单元,用于选择一个硬盘分区进行加密;
备份单元,用于备份头部信息,然后再删除掉该硬盘的头部信息数据;
编写单元,利用C或者C++语言编写一个开机自启的程序,这个自启程序的父进程设置为init程序;
解密单元,在开机解密硬盘的时候,通过开机自启的C程序将备份好的头部信息写入到硬盘头部、自动输入密钥解密、挂载硬盘。
10.根据权利要求9所述的Linux系统下基于LUKS对硬盘的高强度加密系统,其特征在于,还包括保护单元,用于编写开机自启程序之后,给自启程序添加VMP壳。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110241754.6A CN112948859B (zh) | 2021-03-04 | 2021-03-04 | Linux系统下基于LUKS对硬盘的高强度加密方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110241754.6A CN112948859B (zh) | 2021-03-04 | 2021-03-04 | Linux系统下基于LUKS对硬盘的高强度加密方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112948859A true CN112948859A (zh) | 2021-06-11 |
CN112948859B CN112948859B (zh) | 2023-11-14 |
Family
ID=76247705
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110241754.6A Active CN112948859B (zh) | 2021-03-04 | 2021-03-04 | Linux系统下基于LUKS对硬盘的高强度加密方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112948859B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113485757A (zh) * | 2021-07-22 | 2021-10-08 | 北京青云科技股份有限公司 | 一种系统启动过程中的解密方法、装置、设备及存储介质 |
CN113486412A (zh) * | 2021-07-22 | 2021-10-08 | 北京青云科技股份有限公司 | 一种硬盘密钥管理系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104636685A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种龙芯硬件平台上的linux操作系统保护方法 |
CN107908933A (zh) * | 2017-11-08 | 2018-04-13 | 北京顶象技术有限公司 | 一种基于中间语言的字符串加密方法 |
CN109583242A (zh) * | 2018-11-22 | 2019-04-05 | 郑州云海信息技术有限公司 | 一种k-ux系统下硬盘分区加密的方法和系统 |
CN110378131A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种利用可信根管理cryptsetup密钥的方法、系统及装置 |
-
2021
- 2021-03-04 CN CN202110241754.6A patent/CN112948859B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104636685A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种龙芯硬件平台上的linux操作系统保护方法 |
CN107908933A (zh) * | 2017-11-08 | 2018-04-13 | 北京顶象技术有限公司 | 一种基于中间语言的字符串加密方法 |
CN109583242A (zh) * | 2018-11-22 | 2019-04-05 | 郑州云海信息技术有限公司 | 一种k-ux系统下硬盘分区加密的方法和系统 |
CN110378131A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种利用可信根管理cryptsetup密钥的方法、系统及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113485757A (zh) * | 2021-07-22 | 2021-10-08 | 北京青云科技股份有限公司 | 一种系统启动过程中的解密方法、装置、设备及存储介质 |
CN113486412A (zh) * | 2021-07-22 | 2021-10-08 | 北京青云科技股份有限公司 | 一种硬盘密钥管理系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112948859B (zh) | 2023-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9300640B2 (en) | Secure virtual machine | |
JP6347831B2 (ja) | ハイパーバイザに制御されるシステムにおいてゲスト・イベントを処理するための方法、データ処理プログラム、コンピュータ・プログラム製品、およびデータ処理システム | |
KR101081118B1 (ko) | 보안되는 프로그램을 복원하는 컴퓨터 구현 방법, 정보 처리 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
US8924739B2 (en) | System and method for in-place encryption | |
JP4048382B1 (ja) | 情報処理システムおよびプログラム | |
US8200952B2 (en) | Platform authentication via a transparent second factor | |
KR101054981B1 (ko) | 프로그램의 콘텍스트를 보안적으로 저장하는 컴퓨터 구현 방법, 정보 처리 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
US20200012803A1 (en) | Protection system and method against unauthorized data alteration | |
US8190912B2 (en) | Program development method, program development supporting system, and program installation method | |
US20120151199A1 (en) | Secure Encrypted Boot With Simplified Firmware Update | |
US8839451B1 (en) | Activation and security of software | |
US20080076355A1 (en) | Method for Protecting Security Accounts Manager (SAM) Files Within Windows Operating Systems | |
CN112948859B (zh) | Linux系统下基于LUKS对硬盘的高强度加密方法和系统 | |
CN115146318A (zh) | 虚拟磁盘安全存储方法 | |
de Assumpção et al. | Forensic method for decrypting TPM-protected BitLocker volumes using Intel DCI | |
CN113342425A (zh) | 一种Linux嵌入式系统的启动方法、装置和存储介质 | |
US20140149701A1 (en) | Backup method and computer product | |
Choudary et al. | Infiltrate the vault: Security analysis and decryption of lion full disk encryption | |
US7508938B1 (en) | Method and apparatus for generating and using a tamper-resistant encryption key | |
JPWO2008068908A1 (ja) | 情報処理装置および情報管理プログラム | |
TW200414048A (en) | Secure control of access to data on a storage device of a computer system | |
Fernández-Fuentes et al. | Recovering from Memory the Encryption Keys Used by Ransomware Targeting Windows and Linux Systems | |
JP4120702B2 (ja) | 情報処理システムおよびプログラム | |
CN110659509B (zh) | 一种内存快照文件的生成方法、装置、电子设备及介质 | |
CN113343265B (zh) | 一种密钥配置方法、装置和相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |