来源:美亚柏科
VeraCrypt是一款非常流行的、免费的、开源的、高度安全的以及简单易用的支持多平台的磁盘加密软件。鉴于以上特点,VeraCrypt有着庞大的用户群,如记者、安全从业人员以及很多其他用户。
背景介绍
2014年5月28日,TrueCrypt开发者宣布使用TrueCrypt不再安全,若干审计人员已经对TrueCrypt进行了几次审计,但却未能发现严重缺陷。在这一宣布之后,法国IDRIX公司,基于TrueCrypt发行了VeraCrypt免费的磁盘加密软件,这是TrueCrypt的一个分支。TrueCrypt已经不再更新了,而VeraCrypt虽然是基于TrueCrypt,但VeraCrypt在增强其加密算法的同时,不断地修复漏洞,目前仍在开发和更新中,所以安全性方面会更好。
VeraCrypt的安全性案例:2010年Techword曾报道过一则新闻,在一起犯罪调查中,由于犯罪分子使用了TrueCrypt加密数据,结果连美国的FBI 都无法破解数据。TrueCrypt的安全度都这么高了,更不必说VeraCrypt了。
随着大家安全意识提高,对使用该软件加密后的数据取证会变得越来越多。因此有必要对此软件进行研究、总结规律,提高取证效率。
图1 VeraCrypt主界面
鉴于VeraCrypt如此高的安全性,对取证人员来说是一个巨大的挑战。面对VeraCrypt加密数据取证,首先面临的第一个难题是如何识别出加密卷。
VeraCrypt识别
图2 VeraCrypt创建加密卷
首先,从VeraCrypt加密容器创建加密卷,如图2可知,创建加密数据有三种方式:
1.创建文件型加密卷:创建一个文件类型的虚拟加密盘,推荐入门用户使用;
2.加密非系统分区/设备:加密一个内部或者外部驱动器上的非系统分区(例如:U盘)。也可以创建一个隐藏的加密卷;
3.加密系统分区或者整个系统所在硬盘:加密Windows系统所在的分区/驱动器。加密后,任何人想要访问和使用此加密系统、读写此系统盘下的文件等,都需要每次在Windows启动前输入正确的密码。也可以选择创建一个隐形的操作系统。
接下来将针对不同的加密类型展开识别研究。
1
文件型加密卷类型的识别
对于文件型加密卷的识别可以从以下三个方面入手:
(1)文件大小,重点关注大文件(因为存储需要的空间大,加密文件相对会设置的比较大),大小必须被512整除;
(2)已知的文件签名校验,通过对文件进行已知类型的相关特征进行比对;
(3)信息熵(information entropy),通过上述两种方法检测后,再通过文件的信息熵值可以比较精确地识别出加密文件。
图3 取证大师加密容器自动识别结果
如图3所示,当前取证大师已使用以上综合方法检测加密容器。
2
加密非系统分区/设备的类型识别
图4 VeraCrypt加密非系统分区头部数据
通过对非系统分区数据研究如图4所示,可以看出分区内开头数据全部杂乱无章,且正常文件系统的特征全无,对此种类型,可以通过计算分区内数据的信息熵结合已知文件系统特征来识别。
3
加密系统分区类型的识别
对于加密系统分区或者加密整个系统盘类型:
图5 VeraCrypt加密系统分区头部数据
此类型的识别在三种加密中是属于比较容易识别类型。通过对加密数据硬盘开头512字节分析,可发现VeraCrypt系统分区加密后的数据会在头部生成一个相应的标识。观察头部是否有VeraCrypt Boot Loader标志,即可识别,如图5所示,此数据为一个系统分区加密的类型。
4
隐藏类型的识别
图6 VeraCrypt创建加密卷类型
如图6所示,创建加密卷时,不管是文件类型、分区类型或者硬盘类型都有隐藏的类型可以选择创建。隐藏卷其实就是建立两层:外层是一个密码,内层又是一个密码。对于这个加密卷类型是在加密卷上再创建一个隐藏的加密卷,识别的难度更大,当前暂无可靠的方法可以直接检测,可通过其他数据的特征推算出是否有疑似隐藏卷。
比如,从文件修改的时间范围着手,因隐藏加密卷建立在外层加密卷之上,鉴于存储数据需求,外层的数据必定不能存储太多,太多会覆盖掉隐藏卷内容,导致隐藏卷无法正常使用。因外层加密卷文件用于伪装迷惑,故这些文件的修改时间变动较小,甚至外层加密卷的文件创建后可能不会进行修改。
取证方法
从上述的类型研究可以发现,如果需要对VeraCrypt加密数据取证,必须要获得加密的密码或相关密钥。针对以上的加密类型,下面以取证大师为例,总结了如下相关取证方法:
对已获知是加密容器数据,用取证大师V6版本的镜像添加或直接用加密容器添加, 添加后,用TrueCrypt解密功能(取证大师的TrueCrypt解密功能支持对TrueCrypt与VeraCryp加密数据的解密)进行VeraCrypt加密数据解密。
图7 取证大师识别加密容器
添加后如图7所示,取证大师可自动识别为加密容器。
图8 取证大师设置VeraCrypt解密参数
之后,在案例视图加密容器节点右键点击TrueCrypt解密功能弹出解密对话框,再设置解密相关参数如图8所示。
图9 取证大师解密后结果
设置完成后,点击确定,解密后如图9所示,随后再进行相关数据取证。
总 结
VeraCrypt的安全性能高、易用、可跨平台、功能强大等优点,用户群体将越来越多。给取证工作带来了更大的挑战。本文从制作加密容器着手,对实际容器深入分析研究,提出了如何识别加密容器的综合方法,解决了加密容器识别难的问题,接着在获取相关解密参数情况下,深入分析并提出了加密容器的取证方法。