CN113918969B - 一种基于内存数据搜索Bitlocker解密密钥的方法 - Google Patents
一种基于内存数据搜索Bitlocker解密密钥的方法 Download PDFInfo
- Publication number
- CN113918969B CN113918969B CN202111143246.0A CN202111143246A CN113918969B CN 113918969 B CN113918969 B CN 113918969B CN 202111143246 A CN202111143246 A CN 202111143246A CN 113918969 B CN113918969 B CN 113918969B
- Authority
- CN
- China
- Prior art keywords
- key
- volume master
- master key
- data
- reconstruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于内存数据搜索Bitlocker解密密钥的方法,通过对从Windows物理内存中的卷主密钥进行搜索、提取、并重组解密密钥后,得到多个重构密钥的方法,突破了Bitlocker内存密钥解密机制。上述方案不限定原始Bitlocker的加密类型,可以从数据卷解密情况下获取的内存中提取Bitlocker解密密钥,并用于数据解密,解决取证难题。
Description
技术领域
本发明涉及数据安全领域,尤其是一种基于内存数据搜索Bitlocker解密密钥的方法。
背景技术
Bitlocker是Windows系统引入的全盘数据加密数据,对用户的私有数据进行保护,以解决数据泄漏问题。Bitlocker在保护用户私有数据的同时也给计算机取证人员带来了严峻的挑战,如何对加密后的数据进行解密并对原始数据进行取证。Bitlocker支持多种加密方式对数据进行加密,包括:密码、恢复密钥、启动密钥、TPM、域SID等。
目前市面上有对Bitlocker进行解密的技术,但是存在局限性:只支持针对已知明文密码或者恢复密钥或者是启动密钥的方式。对于采用TPM加密芯片加密的系统盘,市面上没有相关技术对其物理数据进行解密。
发明内容
为解决上述现有技术的问题,本发明提供了一种解决上述技术问题的技术方案如下:一种基于内存数据搜索Bitlocker解密密钥的方法,包括以下步骤S1、加载内存镜像,获取所述内存镜像中的多个卷主密钥,得到卷主密钥集合;S2、对所述卷主密钥集合中的全部卷主密钥逐一进行数据筛选处理;S3、对数据筛选处理后的所述卷主密钥进行数据提取操作,并通过高级加密标准算法对所述卷主密钥进行数据重构后,得到重构密钥集合;S4、通过所述重构密钥集合中的全部重构密钥逐一进行对完整磁碟区加密密钥解密,并对所述重构密钥进行筛选。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述卷主密钥的参数包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据,所述重构密钥的参数包括重构密钥长度、重构密钥类型以及重构密钥数据。
进一步,所述S3中的通过高级加密标准算法对所述卷主密钥进行数据重构处理具体为,所述重构密钥长度为所述卷主密钥数据长度与所述卷主密钥头部长度之和,所述重构密钥类型与所述卷主密钥类型一致,所述重构密钥数据与所述卷主密钥数据一致。
进一步,获取所有内存镜像中与预设密钥的密钥长度完全一致的所述卷主密钥,获取所有内存镜像中与预设密钥的密钥长度完全一致的卷主密钥,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥长度不同,则移除该卷主密钥,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥长度相同,则保留该卷主密钥。
进一步,对所述卷主密钥的卷主密钥类型进行判断,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型不同,则移除该卷主密钥,
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型相同,则保留该卷主密钥。
进一步,对所述卷主密钥的卷主密钥数据的信息熵进行比对,若所述卷主密钥的卷主密钥数据的信息熵大于所述预设密钥的信息熵阈值,则移除该卷主密钥,若所述卷主密钥的卷主密钥数据的信息熵小于或等于所述预设密钥的信息熵阈值,则保留该卷主密钥。
进一步,通过多个所述重构密钥进行对完整磁碟区加密密钥解密,若所述重构密钥对所述完整磁碟区加密密钥解密成功,则输出所述重构密钥,若所述重构密钥对所述完整磁碟区加密密钥解密失败,则删除。
本发明的另一个目的在于,基于上述一种基于内存数据搜索Bitlocker解密密钥的方法提供一种计算机可读存储介质,包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求上述的一种基于内存数据搜索Bitlocker解密密钥的方法。
本发明的再一个目的在于,一种计算机系统,包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求上述的一种基于内存数据搜索Bitlocker解密密钥的方法。
本发明的有益效果是:本发明通过对Bitlocker加密机制进行深入研究,提出了一种从Windows物理内存中搜索、提取、并重组解密密钥的方法,突破了Bitlocker内存密钥解密机制,该方法不限定原始Bitlocker的加密类型,可以从数据卷解密情况下获取的内存中提取Bitlocker解密密钥,并用于数据解密,解决取证难题。
附图说明
图1为本发明一种基于内存数据搜索Bitlocker解密密钥方法流程框图;
图2为本发明BITLOCKER加密流程算法流程图;
图3为本发明一种基于内存数据搜索Bitlocker解密密钥方法流程图;
图4为本发明一种基于内存数据搜索Bitlocker解密密钥系统界面示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,本发明提供了一种解决上述技术问题的技术方案如下:一种基于内存数据搜索Bitlocker解密密钥的方法,加载内存镜像,获取所述内存镜像中的多个卷主密钥,得到卷主密钥集合,其中所述卷主密钥的参数包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据;对所述卷主密钥集合中任一的所述卷主密钥进行数据筛选处理;对所述预处理后的卷主密钥集合中任一的卷主密钥进行数据提取操作,并通过高级加密标准算法对所述卷主密钥进行数据重构处理后,得到多个重构密钥;通过多个所述重构密钥进行对完整磁碟区加密密钥解密,并对所述重构密钥进行筛选。
Bitlocker驱动器加密的VMK密钥是卷主密钥的简称。FVEK密钥是完整磁碟区加密密钥的简称。在Bitlocker的加密流程中,加密磁盘原始数据采用的FVEK密钥同样存储于加密盘上,为了防止对FVEK密钥的非授权访问,Bitlocker采用该卷主密钥对FVEK密钥进行加密。在Bitlocker磁盘驱动器加密的分级密钥管理中,VMK密钥属于第二层加密密钥。
如图2所示,BITLOCKER加密流程算法描述如下:
(1)采用FVEK加密密钥对原始数据进行加密;
(2)采用VMK加密密钥对FVEK密钥进行加密,并将加密后的密文存储于加密磁盘中;
(3)采用用户输入的密码或者是恢复密钥对VMK密钥进行加密,并将加密后的密文存储于加密磁盘中。
Bitlocker提供多种加密机制多VMK密钥进行加密,对于不同加密方式加密后的VMK密钥的一份或者多分密文数据存储于加密后的数据卷中。
在本实施例中具体地,如图3所示,加载内存镜像,以VMK密钥的长度total_length作为预设密钥的密钥长度,搜索内存镜像中所有内存镜像中与预设密钥的密钥长度完全一致的所述卷主密钥,针对所有搜索到的所有内存镜像中与预设密钥的密钥长度完全一致的所述卷主密钥,记为集合K。卷主密钥包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据,设K={K1,K2,K3……Kn}代表是从物理内存中搜索疑似的VMK密钥的集合,其中,集合中的每个元素Ki包含的属性说明如下:data_length(VMK密钥的数据长度),header_length(VMK密钥的头部长度),Ki.key_type(VMK密钥类型),Ki.key_data(VMK密钥数据)。
在本实施例中具体地,对所述卷主密钥的卷主密钥类型进行判断,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型不同,则移除该卷主密钥,若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型相同,则保留该卷主密钥。针对卷主密钥集合K中的任一卷主密钥Ki,解析该卷主密钥Ki.key_type字段,若Ki.key_type不是所述预设密钥的密钥类型(KEY_TYPE_VMK)类型,移除该卷主密钥Ki。对所述对所述卷主密钥的卷主密钥数据的信息熵进行比对,若所述卷主密钥的卷主密钥数据的信息熵大于所述预设密钥的信息熵阈值(ENTROPY_MAXVALUE),则移除该卷主密钥,若所述卷主密钥的卷主密钥数据的信息熵小于或等于所述预设密钥的信息熵阈值,则保留该卷主密钥。
卷主密钥进行筛选的过程中,通过预设密钥的信息熵、预设密钥的数据长度以及预设密钥的数据类型来进行卷主密钥筛选,其中所述预设密钥的信息熵通过衡量算法得到信息熵阈值为16.2,针对卷主密钥集合K中的任一卷主密钥Ki,解析Ki.key_data字段,计算Ki.key_data的信息熵,并将所述Ki.key_data的信息熵与预设的信息熵阈值(ENTROPY_MAXVALUE)进行比对,若Ki.key_data的信息熵大于所述预设密钥的信息熵阈值(ENTROPY_MAXVALUE),移除该卷主密钥Ki。
所述重构密钥包括重构密钥长度、重构密钥类型以及重构密钥数据。通过高级加密标准算法对所述卷主密钥进行数据重构处理具体为,所述重构密钥长度为所述卷主密钥数据长度与所述卷主密钥头部长度之和,所述重构密钥类型与所述卷主密钥类型一致,所述重构密钥数据与所述卷主密钥数据一致,设S={S1,S2,S3……Sn}代表重构后的VMK密钥,其中,集合中的每个元素Si包含的属性说明如下:total_length(重构VMK密钥总长度),Si.key_type(重构VMK密钥类型),Si.key_data(重构VMK密钥数据)。针对卷主密钥集合K中的任一卷主密钥Ki,提取Ki.key_data,重构密钥Si,其中Si.key_data=Ki.key_data,Si.decrypt_algo=ALGO_AES256解密算法,Si.key_type=KEY_TYPE_VMK,Si.total_length=data_length+header_length,得到重构密钥集合S。
在本实施例中具体地,通过多个所述重构密钥进行对完整磁碟区加密密钥解密,若所述重构密钥对所述完整磁碟区加密密钥解密成功,则输出所述重构密钥,若所述重构密钥对所述完整磁碟区加密密钥解密失败,则删除。
本发明通过对Bitlocker加密机制进行深入研究,提出了一种从Windows物理内存中搜索、提取、并重组解密密钥的方法,突破了Bitlocker内存密钥解密机制,该方法不限定原始Bitlocker的加密类型,可以从数据卷解密情况下获取的内存中提取Bitlocker解密密钥,并用于数据解密,解决取证难题。在Bitlocker加密卷解密挂载情况下,物理内存中包含有解密后的VMK密钥。因此,在离线获取内存镜像后,可以扫描整个物理内存镜像,提取并重组VMK密钥结构,实现对Bitlocker的离线解密。
本发明的另一个目的在于,如图4所示基于上述一种基于内存数据搜索Bitlocker解密密钥的方法提供一种计算机系统以及存储介质,包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求上所述的一种基于内存数据搜索Bitlocker解密密钥的方法。
本发明涉及的相关技术用语的说明如下:
VMK:Volume Master Key,卷主密钥;
FVEK:Full Volume Encryption Key,全卷加密密钥;
AES:Advanced Encryption Standard,高级加密标准。
读者应理解,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的方法实施例仅仅是示意性的,例如,步骤的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个步骤可以结合或者可以集成到另一个步骤,或一些特征可以忽略,或不执行。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,包括以下步骤:
S1、加载内存镜像,获取所述内存镜像中的多个卷主密钥,得到卷主密钥集合;
S2、对所述卷主密钥集合中的全部卷主密钥逐一进行数据筛选处理;
S3、对数据筛选处理后的所述卷主密钥进行数据提取操作,并通过高级加密标准算法对所述卷主密钥进行数据重构后,得到重构密钥集合;
S4、通过所述重构密钥集合中的全部重构密钥逐一进行对完整磁碟区加密密钥解密,并对所述重构密钥进行筛选;
其中,所述S1具体为:获取所有内存镜像中与预设密钥的密钥长度完全一致的卷主密钥,
若所述卷主密钥的卷主密钥长度与所述预设密钥的密钥长度不同,则移除该卷主密钥;
若所述卷主密钥的卷主密钥长度与所述预设密钥的密钥长度相同,则保留该卷主密钥;
所述S2具体为:对所述卷主密钥的卷主密钥类型进行判断;
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型不同,则移除该卷主密钥;
若所述卷主密钥的卷主密钥类型与所述预设密钥的密钥类型相同,则保留该卷主密钥;
其中,所述S3中的通过高级加密标准算法对所述卷主密钥进行数据重构处理具体为:
所述重构密钥长度为所述卷主密钥数据长度与所述卷主密钥头部长度之和,所述重构密钥类型与所述卷主密钥类型一致,所述重构密钥数据与所述卷主密钥数据一致。
2.根据权利要求1所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,
所述卷主密钥的参数包括卷主密钥数据长度、卷主密钥头部长度、卷主密钥类型以及卷主密钥数据;
所述重构密钥的参数包括重构密钥长度、重构密钥类型以及重构密钥数据。
3.根据权利要求1所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,所述S2还包括:对所述卷主密钥的卷主密钥数据的信息熵进行比对;
若所述卷主密钥的卷主密钥数据的信息熵大于所述预设密钥的信息熵阈值,则移除该卷主密钥;
若所述卷主密钥的卷主密钥数据的信息熵小于或等于所述预设密钥的信息熵阈值,则保留该卷主密钥。
4.根据权利要求1至2任一所述的基于内存数据搜索Bitlocker解密密钥的方法,其特征在于,所述S4具体为:通过多个所述重构密钥进行对完整磁碟区加密密钥解密,若所述重构密钥对所述完整磁碟区加密密钥解密成功,则输出所述重构密钥,若所述重构密钥对所述完整磁碟区加密密钥解密失败,则删除所述重构密钥。
5.一种计算机系统,其特征在于:包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1至4任一项所述的一种基于内存数据搜索Bitlocker解密密钥的方法。
6.一种计算机可读存储介质,其特征在于:包括存储器,所述存储器内存储有计算机程序,所述计算机程序被处理器执行时,实现如权利要求1至4任一项所述的一种基于内存数据搜索Bitlocker解密密钥的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111143246.0A CN113918969B (zh) | 2021-09-28 | 2021-09-28 | 一种基于内存数据搜索Bitlocker解密密钥的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111143246.0A CN113918969B (zh) | 2021-09-28 | 2021-09-28 | 一种基于内存数据搜索Bitlocker解密密钥的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113918969A CN113918969A (zh) | 2022-01-11 |
CN113918969B true CN113918969B (zh) | 2023-02-21 |
Family
ID=79236752
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111143246.0A Active CN113918969B (zh) | 2021-09-28 | 2021-09-28 | 一种基于内存数据搜索Bitlocker解密密钥的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113918969B (zh) |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8745386B2 (en) * | 2010-06-21 | 2014-06-03 | Microsoft Corporation | Single-use authentication methods for accessing encrypted data |
KR102460096B1 (ko) * | 2015-05-27 | 2022-10-27 | 삼성에스디에스 주식회사 | 클라우드 서비스를 위한 암호화 키 관리 방법 및 그 장치 |
CN107332659B (zh) * | 2017-05-24 | 2020-01-07 | 武汉真元生物数据有限公司 | 一种基于生物特征的身份认证方法、存储介质及系统 |
CN107947919B (zh) * | 2017-11-14 | 2020-06-23 | 上海理工大学 | 基于qr码的大信息量图像的压缩感知关联成像加密方法 |
FR3094520B1 (fr) * | 2019-03-25 | 2021-10-22 | St Microelectronics Rousset | Clé de chiffrement et/ou de déchiffrement |
CN112926077B (zh) * | 2021-03-30 | 2024-04-16 | 中国电子信息产业集团有限公司第六研究所 | 一种卫星重构数据处理方法及系统 |
CN113111373B (zh) * | 2021-05-13 | 2022-06-07 | 北京邮电大学 | Vbft共识机制的随机数生成方法和共识机制系统 |
CN113239378B (zh) * | 2021-05-17 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | BitLocker加密卷的口令恢复方法、设备及介质 |
-
2021
- 2021-09-28 CN CN202111143246.0A patent/CN113918969B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN113918969A (zh) | 2022-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9240883B2 (en) | Multi-key cryptography for encrypting file system acceleration | |
US8880879B2 (en) | Accelerated cryptography with an encryption attribute | |
US9043595B2 (en) | Selective shredding in a deduplication system | |
US8571220B2 (en) | Method and apparatus for securing data in a memory device | |
JP4747749B2 (ja) | ドキュメント管理システムおよび情報処理装置 | |
US7841014B2 (en) | Confidential information processing method, confidential information processor, and content data playback system | |
CN106682521B (zh) | 基于驱动层的文件透明加解密系统及方法 | |
CN115442032A (zh) | 一种数据处理方法、片上系统及可读存储介质 | |
US10387653B2 (en) | Secure provisioning of semiconductor chips in untrusted manufacturing factories | |
Khashan et al. | An efficient adaptive of transparent spatial digital image encryption | |
Manikandan et al. | A novel entropy-based reversible data hiding during encryption | |
RU2001128432A (ru) | Устройство для обработки данных и способ обработки данных | |
US10380352B2 (en) | Document security in enterprise content management systems | |
CN113918969B (zh) | 一种基于内存数据搜索Bitlocker解密密钥的方法 | |
CN110932853B (zh) | 一种基于可信模块的密钥管理装置和密钥管理方法 | |
CN112417521A (zh) | 基于fpga+处理器架构的信息安全系统及其工作方法 | |
JPH10271104A (ja) | 暗号化方法及び復号化方法 | |
CN107330340B (zh) | 文件加密方法、设备、文件解密方法、设备及存储介质 | |
CN104392182B (zh) | 一种粉碎文件的方法和装置 | |
Dija et al. | Towards successful forensic recovery of Bitlocked Volumes | |
CN118606963A (zh) | 一种数据防泄漏方法 | |
CN111866868B (zh) | 一种通过硬件加密联系人的方法及系统 | |
CN116401713A (zh) | 开放版式文档的解密方法及装置 | |
Raj et al. | Literature Survey on Obliterate of Secure Data using Universal Validation | |
CN117371020A (zh) | 一种文件加密方法、文件解密方法、装置及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |