《FileVault2加密分区离线解密技术及其取证应用.doc》由会员分享,可在线阅读,更多相关《FileVault2加密分区离线解密技术及其取证应用.doc(2页珍藏版)》请在三一文库上搜索。
1、/ 20I4年第09期、e m、八八i川八入选论文211 doi : 10.3969/j. issn 1671-1122.2014 09.049FileVault2加密分区离线解密技术及其取证应用蓝朝祥,沈长达,钱镜洁(厦门市美亚柏科信息股份有限公司,福建厦门361008 )摘 要:苹果公司推出O S X 10.3 (Panther)系统时,引入了 FileVauh磁盘加密功能。在 最新发布的OS X Lion系统中,引入了全新加密方式FileVaul(2o FiJeVault2使用全磁盘、AES- XTS128加密来帮助保护数据安全。针对当前大部分的取证软件都不支持对经过FilcWuk2加密
2、 的磁盘进行数据解析问题,文章首先讨论了 FilcVault2的加密原理接着提出了离线解密的方法, 并在比基础上设计了 FilcVaulc2取证工具,使得加密絃盘摆脱了目标数据源对Mac OS系统的依 赖.能够在没有Mac OS系统的环境下对经过FileVault2加密的磁盘进行取证实践表明此蔦线 解密方法丰富了加密数据的取证项。关键词:加密琏盘;加密;解密中图分类号:TP309文献标识码:A 文章编号:1671-1122 ( 2014 ) 09-0211-03The Method of Decrypting FileVault2 Offline and Applications inFore
3、nsicsLAN Chao-xiang, SHEN Chang-da, QIAN Jing-jicXiamen Meiya Pico Information Co.Ltd., Xiamen Fujian 36100& China)Abstract: Apple launched OS X 10.3 (Panther) system, the introduction of a FileVault disk encryption feature In the latest release of OS X Lion system, the introduction of a new encrypt
4、ion FileVault2. FileVault2 uses full disk, AESXTS 128 encryption to help keep data secure. Given that most of forensic soft cant achieve forensics quickly on FileVault2 encrypting disk This paper first discusser encrypting principles of the FileVault2, then puts the FileVaull2 decryption method offl
5、ine. And on this basis, designs the decrypting FilcVault2 tools, which works independent of the operating system on the target data source and able to in the absence of Mac OS system environment through FilcVault2 encrypted disk forensics Practice shows that offline decryption method enriches the ev
6、idence items.Key words: encrypting disk; encrypt; decrypt0引言随看各种信息安全爭件曝光,大家对使用的数据安全保护意识越来越强。各种对应的数据保护技术应运而生, 如Windows的BitLocker加密技术。本文主要研究了苹果产品Mac OS X中的FileVault2加密技术。在OS X Lion中的 FileVault2加密技术采用全磁盘加密技术,支持实时加解密,并貝还可以指定用户可见。用户只需记住登录密码即可访问加 密数据,免去了记忆复杂的加密密码的烦恼,同时也达到对数据加密强度的需求。但是苹果公司并没有公布FileVault2相 关的源码和文档,所以目前加密的数据在离开Mac系统后,不能通过恢复密钥或者用户登录密码来解密加密数据,这些 特性极大影响了电了数据取证的进行。因此研究如何在脱离了 Mac ()S系统悄况F,通过对FiIeVault2加密卷进行解密 并设计出对应的取还工具,对加密数据取证貝有重大意义O收稿日期:2014-)8-06作者简介:蓝朝祥(1987-),男福建工程师本科主是研究方向:文件系统解析:沈长达(1989-).男福电工程枫农科,主要研究方向: 文件系境解析及救握恢复;钱( 1984女.江苏,工程师.硕士.主要研究方向:数据存储和恢复。211