内存镜像中BitLocker密钥提取及应用研究

作     者：刘立根 

作者单位：重庆邮电大学 

学位级别：硕士

导师姓名：罗文俊;陈龙

授予年度：2016年

学科分类：11[军事学] 1105[军事学-军队指挥学] 0839[工学-网络空间安全] 08[工学] 110505[军事学-密码学] 110503[军事学-军事通信学] 

主      题：内存取证 BitLocker 密钥提取 解密 

摘      要：磁盘加密技术得到越来越广泛的应用,强大的数据保护使得调查人员在对可疑目标进行取证时面临巨大难题,乃至无法获取原始证据,成为计算机取证面临的严峻挑战。磁盘加密系统往往需要实现实时加密、解密,其密钥在系统运行时需要在内存中长期存在,致使内存数据成为加密系统的薄弱环节。内存取证作为计算机取证的重要分支,有能力获取可靠证据或关键信息,近几年已获得信息安全领域及取证机构的关注。Bit Locker是微软公司开发的磁盘加密系统,广泛应用于微软的各种平台。本文依据现场取证实践需求,全面测试、分析了BitLocker系统装载各类型加密卷的情况;着重研究了在各种取证场景下BitLocker密钥在内存中的结构特征和间距特征规律;结合密钥特征及AES密钥提取技术提出了基于内存镜像的卷主密钥提取方法和全卷加密密钥提取方法。本文深入分析了BitLocker的加密方法与磁盘加密技术,并开发了由密钥提取、加密卷解析、密钥验证和加密卷解密等四个模块组成的Bit Locker解密取证系统。该系统能够从内存镜像中智能地提取密钥数据,并重组、筛选和验证出正确的密钥,以及利用获取的密钥解密出明文。通过测试多种Windows操作系统版本下BitLocker创建的不同加密方法以及各种文件格式的加密卷,实验结果表明该系统能够快速、有效、稳定地在复杂的取证状况下提取出不同类型的Bit Locker密钥,并自动完成加密卷解密操作,最终从计算机加密磁盘或者受保护的移动存储设备中成功恢复出明文文件。该系统可以成为加密数据取证的有力工具。