当前位置: www.2977.com > 新闻中心 > 技术分享 > 【澳门葡京技术分享】第六十九期:遇到VeraCrypt如何取证?

【澳门葡京技术分享】第六十九期:遇到VeraCrypt如何取证?

VeraCrypt是一款非常流行的、免费的、开源的、高度安全的以及简单易用的支持多平台的磁盘加密软件。鉴于以上特点,VeraCrypt有着庞大的用户群,如记者、安全从业人员以及很多其他用户。


本次感谢线上澳门葡京网址技术专家给我们分享VeraCrypt的取证知识。

一、背景介绍


2014年5月28日,TrueCrypt开发者宣布使用TrueCrypt不再安全,若干审计人员已经对TrueCrypt进行了几次审计,但却未能发现严重缺陷。在这一宣布之后,法国IDRIX公司,基于TrueCrypt发行了VeraCrypt免费的磁盘加密软件,这是TrueCrypt的一个分支。TrueCrypt已经不再更新了,而VeraCrypt虽然是基于TrueCrypt,但VeraCrypt在增强其加密算法的同时,不断地修复漏洞,目前仍在开发和更新中,所以安全性方面会更好。


VeraCrypt的安全性案例:2010年Techword曾报道过一则新闻,在一起犯罪调查中,由于犯罪分子使用了TrueCrypt加密数据,结果连美国的FBI 都无法破解数据。TrueCrypt的安全度都这么高了,更不必说VeraCrypt了。


随着大家安全意识提高,对使用该软件加密后的数据取证会变得越来越多。因此有必要对此软件进行研究、总结规律,提高取证效率。

 

1546070982235466.png

图1 VeraCrypt主界面


鉴于VeraCrypt如此高的安全性,对取证人员来说是一个巨大的挑战。面对VeraCrypt加密数据取证,首先面临的第一个难题是如何识别出加密卷


二、VeraCrypt识别


1546070998609881.png

图2 VeraCrypt创建加密卷


首先,从VeraCrypt加密容器创建加密卷,如图2可知,创建加密数据有三种方式:


1. 创建文件型加密卷:创建一个文件类型的虚拟加密盘,推荐入门用户使用;


2. 加密非系统分区/设备:加密一个内部或者外部驱动器上的非系统分区(例如:U盘)。也可以创建一个隐藏的加密卷;


3. 加密系统分区或者整个系统所在硬盘:加密Windows系统所在的分区/驱动器。加密后,任何人想要访问和使用此加密系统、读写此系统盘下的文件等,都需要每次在Windows启动前输入正确的密码。也可以选择创建一个隐形的操作系统。


接下来将针对不同的加密类型展开识别研究。


(一)文件型加密卷类型的识别


对于文件型加密卷的识别可以从以下三个方面入手:

(1)文件大小,重点关注大文件(因为存储需要的空间大,加密文件相对会设置的比较大),大小必须被512整除;

(2)已知的文件签名校验,通过对文件进行已知类型的相关特征进行比对;

(3)信息熵(information entropy),通过上述两种方法检测后,再通过文件的信息熵值可以比较精确地识别出加密文件。


1546071015517073.png

图3 取证大师加密容器自动识别结果


如图3所示,当前取证大师已使用以上综合方法检测加密容器。


(二)加密非系统分区/设备的类型识别


1546071040908384.png 

图4 VeraCrypt加密非系统分区头部数据


通过对非系统分区数据研究如图4所示,可以看出分区内开头数据全部杂乱无章,且正常文件系统的特征全无,对此种类型,可以通过计算分区内数据的信息熵结合已知文件系统特征来识别。


(三)加密系统分区类型的识别


对于加密系统分区或者加密整个系统盘类型:


1546071094338085.png

图5 VeraCrypt加密系统分区头部数据


此类型的识别在三种加密中是属于比较容易识别类型。通过对加密数据硬盘开头512字节分析,可发现VeraCrypt系统分区加密后的数据会在头部生成一个相应的标识。观察头部是否有VeraCrypt Boot Loader标志,即可识别,如图5所示,此数据为一个系统分区加密的类型。


(四)隐藏类型的识别


1546071114349062.png

图6 VeraCrypt创建加密卷类型


如图6所示,创建加密卷时,不管是文件类型、分区类型或者硬盘类型都有隐藏的类型可以选择创建。隐藏卷其实就是建立两层:外层是一个密码,内层又是一个密码。对于这个加密卷类型是在加密卷上再创建一个隐藏的加密卷,识别的难度更大,当前暂无可靠的方法可以直接检测,可通过其他数据的特征推算出是否有疑似隐藏卷。


比如,从文件修改的时间范围着手,因隐藏加密卷建立在外层加密卷之上,鉴于存储数据需求,外层的数据必定不能存储太多,太多会覆盖掉隐藏卷内容,导致隐藏卷无法正常使用。因外层加密卷文件用于伪装迷惑,故这些文件的修改时间变动较小,甚至外层加密卷的文件创建后可能不会进行修改。


三、取证方法


 从上述的类型研究可以发现,如果需要对VeraCrypt加密数据取证,必须要获得加密的密码或相关密钥。针对以上的加密类型,下面以取证大师为例,总结了如下相关取证方法:


对已获知是加密容器数据,用取证大师V6版本的镜像添加或直接用加密容器添加, 添加后,用TrueCrypt解密功能(取证大师的TrueCrypt解密功能支持对TrueCrypt与VeraCryp加密数据的解密)进行VeraCrypt加密数据解密。


1546072228318743.png

图7 取证大师识别加密容器


添加后如图7所示,取证大师可自动识别为加密容器。


1546071176853801.png

图8 取证大师设置VeraCrypt解密参数


之后,在案例视图加密容器节点右键点击TrueCrypt解密功能弹出解密对话框,再设置解密相关参数如图8所示。

 

1546071192745031.png

 图9 取证大师解密后结果


设置完成后,点击确定,解密后如图9所示,随后再进行相关数据取证。


  四、总 结  


VeraCrypt的安全性能高、易用、可跨平台、功能强大等优点,用户群体将越来越多。给取证工作带来了更大的挑战。本文从制作加密容器着手,对实际容器深入分析研究,提出了如何识别加密容器的综合方法,解决了加密容器识别难的问题,接着在获取相关解密参数情况下,深入分析并提出了加密容器的取证方法。希望线上澳门葡京网址技术专家的分享能给取证小伙伴们一些取证思路。