CN113918969A - 一种基于内存数据搜索Bitlocker解密密钥的方法 - Google Patents

一种基于内存数据搜索Bitlocker解密密钥的方法 Download PDF

Info

Publication number
CN113918969A
CN113918969A CN202111143246.0A CN202111143246A CN113918969A CN 113918969 A CN113918969 A CN 113918969A CN 202111143246 A CN202111143246 A CN 202111143246A CN 113918969 A CN113918969 A CN 113918969A
Authority
CN
China
Prior art keywords
key
volume master
master key
data
reconstruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111143246.0A
Other languages
English (en)
Other versions
CN113918969B (zh
Inventor
邵炳阳
沈长达
黄志炜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Meiya Pico Information Co Ltd
Original Assignee
Xiamen Meiya Pico Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Meiya Pico Information Co Ltd filed Critical Xiamen Meiya Pico Information Co Ltd
Priority to CN202111143246.0A priority Critical patent/CN113918969B/zh
Publication of CN113918969A publication Critical patent/CN113918969A/zh
Application granted granted Critical
Publication of CN113918969B publication Critical patent/CN113918969B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Abstract

本发明涉及一种基于内存数据搜索Bitlocker解密密钥的方法,通过对从Windows物理内存中的卷主密钥进行搜索、提取、并重组解密密钥后,得到多个重构密钥的方法,突破了Bitlocker内存密钥解密机制。上述方案不限定原始Bitlocker的加密类型,可以从数据卷解密情况下获取的内存中提取Bitlocker解密密钥,并用于数据解密,解决取证难题。

Description

一种基于内存数据搜索Bitlocker解密密钥的方法
技术领域
本发明涉及数据安全领域,尤其是一种基于内存数据搜索Bitlocker解密密钥的方法。
背景技术
Bitlocker是Windows系统引入的全盘数据加密数据,对用户的私有数据进行保护,以解决数据泄漏问题。Bitlocker在保护用户私有数据的同时也给计算机取证人员带来了严峻的挑战,如何对加密后的数据进行解密并对原始数据进行取证。Bitlocker支持多种加密方式对数据进行加密,包括:密码、恢复密钥、启动密钥、TPM、域SID等。
目前市面上有对Bitlocker进行解密的技术,但是存在局限性:只支持针对已知明文密码或者恢复密钥或者是启动密钥的方式。对于采用TPM加密芯片加密的系统盘,市面上没有相关技术对其物理数据进行解密。
发明内容
为解决上述现有技术的问题,本发明提供了一种解决上述技术问题的技术方案如下:一种基于内存数据搜索Bitlocker解密密钥的方法,包括以下步骤S1、加载内存镜像,获取所述内存镜像中的多个卷主密钥,得到卷主密钥集合;S2、对所述卷主密钥集合中的全部卷主密钥逐一进行数据筛选处理;S3、对数据筛选处理后的所述卷主密钥进行数据提取操作,并通过高级加密标准算法对所述卷主密钥进行数据重构后,得到重构密钥集合;S4、通过所述重构密钥集合中的全部重构密钥逐一进行对完整磁碟区加密密钥解密,并对所述重构密钥进行筛选。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述卷主密钥的参数包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据,所述重构密钥的参数包括重构密钥长度、重构密钥类型以及重构密钥数据。
进一步,所述S3中的通过高级加密标准算法对所述卷主密钥进行数据重构处理具体为,所述重构密钥长度为所述卷主密钥数据长度与所述卷主密钥头部长度之和,所述重构密钥类型与所述卷主密钥类型一致,所述重构密钥数据与所述卷主密钥数据一致。
进一步,获取所有内存镜像中与预设密钥的密钥长度完全一致的所述卷主密钥,获取所有内存镜像中与预设密钥的密钥长度完全一致的卷主密钥,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥长度不同,则移除该卷主密钥,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥长度相同,则保留该卷主密钥。
进一步,对所述卷主密钥的卷主密钥类型进行判断,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型不同,则移除该卷主密钥,
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型相同,则保留该卷主密钥。
进一步,对所述卷主密钥的卷主密钥数据的信息熵进行比对,若所述卷主密钥的卷主密钥数据的信息熵大于所述预设密钥的信息熵阈值,则移除该卷主密钥,若所述卷主密钥的卷主密钥数据的信息熵小于或等于所述预设密钥的信息熵阈值,则保留该卷主密钥。
进一步,通过多个所述重构密钥进行对完整磁碟区加密密钥解密,若所述重构密钥对所述完整磁碟区加密密钥解密成功,则输出所述重构密钥,若所述重构密钥对所述完整磁碟区加密密钥解密失败,则删除。
本发明的另一个目的在于,基于上述一种基于内存数据搜索Bitlocker解密密钥的方法提供一种计算机可读存储介质,包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求上述的一种基于内存数据搜索Bitlocker解密密钥的方法。
本发明的再一个目的在于,一种计算机系统,包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求上述的一种基于内存数据搜索Bitlocker解密密钥的方法。
本发明的有益效果是:本发明通过对Bitlocker加密机制进行深入研究,提出了一种从Windows物理内存中搜索、提取、并重组解密密钥的方法,突破了Bitlocker内存密钥解密机制,该方法不限定原始Bitlocker的加密类型,可以从数据卷解密情况下获取的内存中提取Bitlocker解密密钥,并用于数据解密,解决取证难题。
附图说明
图1为本发明一种基于内存数据搜索Bitlocker解密密钥方法流程框图;
图2为本发明BITLOCKER加密流程算法流程图;
图3为本发明一种基于内存数据搜索Bitlocker解密密钥方法流程图;
图4为本发明一种基于内存数据搜索Bitlocker解密密钥系统界面示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,本发明提供了一种解决上述技术问题的技术方案如下:一种基于内存数据搜索Bitlocker解密密钥的方法,加载内存镜像,获取所述内存镜像中的多个卷主密钥,得到卷主密钥集合,其中所述卷主密钥的参数包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据;对所述卷主密钥集合中任一的所述卷主密钥进行数据筛选处理;对所述预处理后的卷主密钥集合中任一的卷主密钥进行数据提取操作,并通过高级加密标准算法对所述卷主密钥进行数据重构处理后,得到多个重构密钥;通过多个所述重构密钥进行对完整磁碟区加密密钥解密,并对所述重构密钥进行筛选。
Bitlocker驱动器加密的VMK密钥是卷主密钥的简称。FVEK密钥是完整磁碟区加密密钥的简称。在Bitlocker的加密流程中,加密磁盘原始数据采用的FVEK密钥同样存储于加密盘上,为了防止对FVEK密钥的非授权访问,Bitlocker采用该卷主密钥对FVEK密钥进行加密。在Bitlocker磁盘驱动器加密的分级密钥管理中,VMK密钥属于第二层加密密钥。
如图2所示,BITLOCKER加密流程算法描述如下:
(1)采用FVEK加密密钥对原始数据进行加密;
(2)采用VMK加密密钥对FVEK密钥进行加密,并将加密后的密文存储于加密磁盘中;
(3)采用用户输入的密码或者是恢复密钥对VMK密钥进行加密,并将加密后的密文存储于加密磁盘中。
Bitlocker提供多种加密机制多VMK密钥进行加密,对于不同加密方式加密后的VMK密钥的一份或者多分密文数据存储于加密后的数据卷中。
在本实施例中具体地,如图3所示,加载内存镜像,以VMK密钥的长度total_length作为预设密钥的密钥长度,搜索内存镜像中所有内存镜像中与预设密钥的密钥长度完全一致的所述卷主密钥,针对所有搜索到的所有内存镜像中与预设密钥的密钥长度完全一致的所述卷主密钥,记为集合K。卷主密钥包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据,设K={K1,K2,K3……Kn}代表是从物理内存中搜索疑似的VMK密钥的集合,其中,集合中的每个元素Ki包含的属性说明如下:data_length(VMK密钥的数据长度),header_length(VMK密钥的头部长度),Ki.key_type(VMK密钥类型),Ki.key_data(VMK密钥数据)。
在本实施例中具体地,对所述卷主密钥的卷主密钥类型进行判断,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型不同,则移除该卷主密钥,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型相同,则保留该卷主密钥。针对卷主密钥集合K中的任一卷主密钥Ki,解析该卷主密钥Ki.key_type字段,若Ki.key_type不是所述预设密钥的密钥类型(KEY_TYPE_VMK)类型,移除该卷主密钥Ki。对所述对所述卷主密钥的卷主密钥数据的信息熵进行比对,若所述卷主密钥的卷主密钥数据的信息熵大于所述预设密钥的信息熵阈值(ENTROPY_MAXVALUE),则移除该卷主密钥,若所述卷主密钥的卷主密钥数据的信息熵小于或等于所述预设密钥的信息熵阈值,则保留该卷主密钥。
卷主密钥进行筛选的过程中,通过预设密钥的信息熵、预设密钥的数据长度以及预设密钥的数据类型来进行卷主密钥筛选,其中所述预设密钥的信息熵通过衡量算法得到信息熵阈值为16.2,针对卷主密钥集合K中的任一卷主密钥Ki,解析Ki.key_data字段,计算Ki.key_data的信息熵,并将所述Ki.key_data的信息熵与预设的信息熵阈值(ENTROPY_MAXVALUE)进行比对,若Ki.key_data的信息熵大于所述预设密钥的信息熵阈值(ENTROPY_MAXVALUE),移除该卷主密钥Ki。
所述重构密钥包括重构密钥长度、重构密钥类型以及重构密钥数据。通过高级加密标准算法对所述卷主密钥进行数据重构处理具体为,所述重构密钥长度为所述卷主密钥数据长度与所述卷主密钥头部长度之和,所述重构密钥类型与所述卷主密钥类型一致,所述重构密钥数据与所述卷主密钥数据一致,设S={S1,S2,S3……Sn}代表重构后的VMK密钥,其中,集合中的每个元素Si包含的属性说明如下:total_length(重构VMK密钥总长度),Si.key_type(重构VMK密钥类型),Si.key_data(重构VMK密钥数据)。针对卷主密钥集合K中的任一卷主密钥Ki,提取Ki.key_data,重构密钥Si,其中Si.key_data=Ki.key_data,Si.decrypt_algo=ALGO_AES256解密算法,Si.key_type=KEY_TYPE_VMK,Si.total_length=data_length+header_length,得到重构密钥集合S。
在本实施例中具体地,通过多个所述重构密钥进行对完整磁碟区加密密钥解密,若所述重构密钥对所述完整磁碟区加密密钥解密成功,则输出所述重构密钥,若所述重构密钥对所述完整磁碟区加密密钥解密失败,则删除。
本发明通过对Bitlocker加密机制进行深入研究,提出了一种从Windows物理内存中搜索、提取、并重组解密密钥的方法,突破了Bitlocker内存密钥解密机制,该方法不限定原始Bitlocker的加密类型,可以从数据卷解密情况下获取的内存中提取Bitlocker解密密钥,并用于数据解密,解决取证难题。在Bitlocker加密卷解密挂载情况下,物理内存中包含有解密后的VMK密钥。因此,在离线获取内存镜像后,可以扫描整个物理内存镜像,提取并重组VMK密钥结构,实现对Bitlocker的离线解密。
本发明的另一个目的在于,如图4所示基于上述一种基于内存数据搜索Bitlocker解密密钥的方法提供一种计算机系统以及存储介质,包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求上所述的一种基于内存数据搜索Bitlocker解密密钥的方法。
本发明涉及的相关技术用语的说明如下:
VMK:Volume Master Key,卷主密钥;
FVEK:Full Volume Encryption Key,全卷加密密钥;
AES:Advanced Encryption Standard,高级加密标准。
读者应理解,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的方法实施例仅仅是示意性的,例如,步骤的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个步骤可以结合或者可以集成到另一个步骤,或一些特征可以忽略,或不执行。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,包括以下步骤:
S1、加载内存镜像,获取所述内存镜像中的多个卷主密钥,得到卷主密钥集合;
S2、对所述卷主密钥集合中的全部卷主密钥逐一进行数据筛选处理;
S3、对数据筛选处理后的所述卷主密钥进行数据提取操作,并通过高级加密标准算法对所述卷主密钥进行数据重构后,得到重构密钥集合;
S4、通过所述重构密钥集合中的全部重构密钥逐一进行对完整磁碟区加密密钥解密,并对所述重构密钥进行筛选。
2.根据权利要求1所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,
所述卷主密钥的参数包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据;
所述重构密钥的参数包括重构密钥长度、重构密钥类型以及重构密钥数据。
3.根据权利要求1至2任一所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,所述S1具体为:获取所有内存镜像中与预设密钥的密钥长度完全一致的卷主密钥,
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥长度不同,则移除该卷主密钥;
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥长度相同,则保留该卷主密钥。
4.根据权利要求1至2任一所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,所述S2具体为:对所述卷主密钥的卷主密钥类型进行判断;
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型不同,则移除该卷主密钥;
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型相同,则保留该卷主密钥。
5.根据权利要求4所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,所述S2还包括:对所述卷主密钥的卷主密钥数据的信息熵进行比对;
若所述卷主密钥的卷主密钥数据的信息熵大于所述预设密钥的信息熵阈值,则移除该卷主密钥;
若所述卷主密钥的卷主密钥数据的信息熵小于或等于所述预设密钥的信息熵阈值,则保留该卷主密钥。
6.根据权利要求1至2任一所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,所述S4具体为:通过多个所述重构密钥进行对完整磁碟区加密密钥解密,若所述重构密钥对所述完整磁碟区加密密钥解密成功,则输出所述重构密钥,若所述重构密钥对所述完整磁碟区加密密钥解密失败,则删除。
7.根据权利要求1至2任一所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,所述S3中的通过高级加密标准算法对所述卷主密钥进行数据重构处理具体为:
所述重构密钥长度为所述卷主密钥数据长度与所述卷主密钥头部长度之和,所述重构密钥类型与所述卷主密钥类型一致,所述重构密钥数据与所述卷主密钥数据一致。
8.一种计算机系统,其特征在于:包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1至7任一项所述的一种基于内存数据搜索Bitlocker解密密钥的方法。
9.一种计算机可读存储介质,其特征在于:包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1至7任一项所述的一种基于内存数据搜索Bitlocker解密密钥的方法。
CN202111143246.0A 2021-09-28 2021-09-28 一种基于内存数据搜索Bitlocker解密密钥的方法 Active CN113918969B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111143246.0A CN113918969B (zh) 2021-09-28 2021-09-28 一种基于内存数据搜索Bitlocker解密密钥的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111143246.0A CN113918969B (zh) 2021-09-28 2021-09-28 一种基于内存数据搜索Bitlocker解密密钥的方法

Publications (2)

Publication Number Publication Date
CN113918969A true CN113918969A (zh) 2022-01-11
CN113918969B CN113918969B (zh) 2023-02-21

Family

ID=79236752

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111143246.0A Active CN113918969B (zh) 2021-09-28 2021-09-28 一种基于内存数据搜索Bitlocker解密密钥的方法

Country Status (1)

Country Link
CN (1) CN113918969B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102948114A (zh) * 2010-06-21 2013-02-27 微软公司 用于访问加密数据的单次使用认证方法
CN106209353A (zh) * 2015-05-27 2016-12-07 三星Sds株式会社 密钥管理方法及其系统
CN107332659A (zh) * 2017-05-24 2017-11-07 舒翔 一种基于生物特征的身份认证方法、存储介质及系统
CN107947919A (zh) * 2017-11-14 2018-04-20 上海理工大学 基于qr码的大信息量图像的压缩感知关联成像加密方法
FR3094520A1 (fr) * 2019-03-25 2020-10-02 Stmicroelectronics (Rousset) Sas Clé de chiffrement et/ou de déchiffrement
CN112926077A (zh) * 2021-03-30 2021-06-08 中国电子信息产业集团有限公司第六研究所 一种卫星重构数据处理方法及系统
CN113111373A (zh) * 2021-05-13 2021-07-13 北京邮电大学 Vbft共识机制的随机数生成方法和共识机制系统
CN113239378A (zh) * 2021-05-17 2021-08-10 中国电子科技集团公司第三十研究所 BitLocker加密卷的口令恢复方法、设备及介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102948114A (zh) * 2010-06-21 2013-02-27 微软公司 用于访问加密数据的单次使用认证方法
CN106209353A (zh) * 2015-05-27 2016-12-07 三星Sds株式会社 密钥管理方法及其系统
CN107332659A (zh) * 2017-05-24 2017-11-07 舒翔 一种基于生物特征的身份认证方法、存储介质及系统
CN107947919A (zh) * 2017-11-14 2018-04-20 上海理工大学 基于qr码的大信息量图像的压缩感知关联成像加密方法
FR3094520A1 (fr) * 2019-03-25 2020-10-02 Stmicroelectronics (Rousset) Sas Clé de chiffrement et/ou de déchiffrement
CN112926077A (zh) * 2021-03-30 2021-06-08 中国电子信息产业集团有限公司第六研究所 一种卫星重构数据处理方法及系统
CN113111373A (zh) * 2021-05-13 2021-07-13 北京邮电大学 Vbft共识机制的随机数生成方法和共识机制系统
CN113239378A (zh) * 2021-05-17 2021-08-10 中国电子科技集团公司第三十研究所 BitLocker加密卷的口令恢复方法、设备及介质

Also Published As

Publication number Publication date
CN113918969B (zh) 2023-02-21

Similar Documents

Publication Publication Date Title
US9240883B2 (en) Multi-key cryptography for encrypting file system acceleration
US9350549B2 (en) Selective shredding in a deduplication system
US8880879B2 (en) Accelerated cryptography with an encryption attribute
KR101597930B1 (ko) 비디오 파일 암호화 및 복호화 방법, 디바이스 그리고 모바일 단말
US20120300931A1 (en) Method and Apparatus for Securing Data in a Memory Device
US20140032929A1 (en) Method, device, and system for encrypting and decrypting image
CN106682521B (zh) 基于驱动层的文件透明加解密系统及方法
CN115442032A (zh) 一种数据处理方法、片上系统及可读存储介质
US10387653B2 (en) Secure provisioning of semiconductor chips in untrusted manufacturing factories
Khashan et al. An efficient adaptive of transparent spatial digital image encryption
Manikandan et al. A novel entropy-based reversible data hiding during encryption
CN113722741A (zh) 数据加密方法及装置、数据解密方法及装置
US10380353B2 (en) Document security in enterprise content management systems
CN113918969B (zh) 一种基于内存数据搜索Bitlocker解密密钥的方法
CN112417521A (zh) 基于fpga+处理器架构的信息安全系统及其工作方法
JPH10271104A (ja) 暗号化方法及び復号化方法
CN107330340B (zh) 文件加密方法、设备、文件解密方法、设备及存储介质
CN110932853B (zh) 一种基于可信模块的密钥管理装置和密钥管理方法
Jain et al. Quantum-based rivest–shamir–adleman (rsa) approach for digital forensic reports
JP2000172566A (ja) 電子データ管理装置および方法と電子データ管理プログラムを記録した記録媒体
Dija et al. Towards successful forensic recovery of Bitlocked Volumes
CN104392182A (zh) 一种粉碎文件的方法和装置
CN111866868B (zh) 一种通过硬件加密联系人的方法及系统
CN116401713A (zh) 开放版式文档的解密方法及装置
CN117371020A (zh) 一种文件加密方法、文件解密方法、装置及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant