浅谈数据恢复.ppt

浅谈数据恢复------------应用于计算机取证中科院高能物理研究所郑捷文硬盘数据恢复硬盘数据的分布分区表未分区空间分区空间典型的硬盘空间分配情况主分区扩展分区逻辑分区逻辑分区无法利用的空间硬盘分区实例硬盘末尾的不可分配空间可恢复数据的位置未分区空间未分配的磁盘空间被标记为坏区的空间未分区空间中的数据文件系统未分配空间中的数据从交换文件中寻找信息Windows在物理内存不足时用硬盘虚拟将内存中的暂时无用的数据写入到硬盘待需要使用时再从硬盘读入上述过程用到的文件称为交换文件用拔电源的方法关机如果shutdown，交换文件是空的从交换文件中寻找信息（2）交换文件中包含大量关机前的现场信息加密文件的解密版本当时曾经阅读过的文档交换文件位置：Windows95/98/MeWindows目录WindowsNT/2000/XP/2003系统分区根目录pagefile.sys休眠文件hiberfil.sys有同样价值示例：交换文件中的信息从运行中的系统上提取交换文件系统禁止读取交换文件内容Windows2000以上可以利用sleuthkit来提取./fls-fntfs\\\\.\\e:|greppagefile.sys./icat-fntfs“\\\\.\\e:”(入口点数字)pagefile.img分析FileSlack409640964096FileSlack示意图：“浪费”的部分就是FileSlack共占用三个簇12288字节利用了12000字节“浪费”288字节FileSlack实例分区表修复工具testdisk支持平台DOS/Win9xWindowsNT4/2000/XP/2003LinuxFreeBSD支持的分区格式FAT12FAT16FAT32LinuxEXT2/EXT3LinuxSWAP(version1and2)NTFS(WindowsNT/W2K/XP)BeFS(BeOS)UFS(BSD)NetwareReiserFStestdisk（2）假定分区存在并尝试在硬盘上搜寻testdisk(3)列出候选分区的文件加密和破解加密的基本原理明文密文密钥加密算法算法是公开的密钥是保密的破解密文破的就是密钥破解密文或口令的基本方法密码分析学已知明文选择明文选择密文专业性强适用于早期的winzip、winrar和ms-office文件密码猜测字典：基于普通单词的高使用率口令受训的猜测：人们习惯使用的密码效率严重依赖于对字典的选择暴力破解：对口令的所有可能性进行尝试理论上总是可行，但是密钥长度太长时时间耗费太长而无法实行破解密文或口令的取巧方法搜寻口令物理搜索：口令可能写在纸上逻辑搜索：口令可能记录在文档中网络窃听从网络中捕获明文或加密的口令加密的口令可以用工具进行破解提取口令逻辑搜索：在系统注册表、交换文件、内存等位置查找口令获取口令要求犯罪嫌疑人提供口令Ms-Office文件的解密寻找形如~WRL0002.tmp的临时文件Word异常退出的残留可以用word打开可能形成于文件被加密之前寻找wbk文件人们往往编辑完文件才加密这样一来备份文件就是不加密的使用破解工具的破解效率Microsoft®Money立即被破解Microsoft®Access6/95/97/2000/XP立即被破解Microsoft®Word6/95立即被破解Microsoft®Word97/2000/XP,Microsoft®Excel97/2000/XP只读口令可立即被破解打开口令需要用字典或暴力破解高效的软件能够在15天内彻底破解其他加密文件破解文件类型加密强度破解难度Winzip存在可以提高破解速度的漏洞Winzip8.1以下版本可以被彻底破解Winrar非常强口令5个字符就很难破解AcobatPDF4.0以下，中等可以彻底破解5.0以上，强度较高只读口令可立即破解常用破解工具AccessDataPasswordRecoveryToolkitAccessDataDistributedNetworkAttackAdvanceRecovery系列AdvanceOfficeXPRecoveryAdvanceZIPRecoveryAdvanceRARRecoveryAdvancePDFRecovery口令破解本地口令的获取许多软件或Windows功能允许保存口令聊天工具电子邮件客户端拨号网络或VPN网上邻居访问口令聊天工具QQ：MSN和YahoomessangerAdvanceIMPasswordRecovery本地口令的获取(2)电子邮件客户端：AdvanceMailboxPasswordReovery其他：AdvanceWindowsPasswordRecovery拨号网络和VPN口令网上邻居访问口令Windows95/98/ME/NT4/2000/XP自动登录口令Windows95/98/ME/NT4/2000/XP登录口令破解Windows95/98/Me的PWL文件显示为”***”的口令Windows95/98/Me的PWL文件保存了用户口令可以用AdvanceWindowsPasswordRecovery破解运行sysedit，在system.ini中可以找到其位置：[PasswordLists]A=C:\WINDOWS\A.PWLZHENGJW=C:\WINDOWS\ZHENGJW.PWLWindowsNT/2000/XP/2003口令用户账号的口令都保存在硬盘上口令单向加密后保存普通加密：可逆的，双向明文密文明文单向加密：不可逆的明文哈希值单向加密所得的哈希值可以进行破解字典破解暴力破解Windows口令保存的缺陷WindowsNT/2000/XP/2003口令在长度小于等于14个子符时默认会生成LMHash大小写不敏感口令被分为两组，每组0~7个字符保存破解难度相当于7个字符大部分口令都满足这种情况用户可能会禁止生成LMHash口令超过14字符时也不生成LMHash各种对付Windows口令的方法直接删除口令修改管理员口令运行可疑系统后破解不运行可疑系统直接破解方法一：直接删除口令口令保存的位置\winnt\system32\config\SAM\winnt\system32\system删除SAM文件可以清除全部口令副作用大：丢失所有用户账号方法二：修改管理员口令OfflineNTPassword&RegistryEditor~pnordahl/ntpasswdEBCD–EmergencyBootCDAustrumi进入系统后可用LC5破解其他用户口令副作用：EFS加密文件夹失效EFS文件系统NTFS特有的加密文件系统采用证书/私钥机制加密用户透明的加密操作离开原有操作系统后需要SAM文件和以下之一Syskey密钥加密者的口令RecoveryAgent口令(如果存在)破解口令、进入系统后可以直接阅读专用工具可直接打开EFS文件系统如：AdvancedEFSDataRecovery方法三：运行可疑系统后破解口令LC5工具：优点：破解速度快，效率高缺点：必须知道管理员口令必须进入被调查的操作系统发现的用户口令可能有其他作用，如：Winrar口令？邮箱口令？LC5界面用AdvancedWindowsPasswordRecovery破解口令提取自动登录口令提取当前登录账号的口令提取拨号网络口令提取口令哈希值并破解方法四：不运行可疑系统直接破解这是理想的破解口令操作1.复制可疑硬盘2.从复制的可疑硬盘中提取口令哈希值3.运行破解工具对哈希值进行破解优点：不破坏任何原有数据困难：syskey机制的存在Windows的syskey机制用户口令哈希值单向加密SAM文件用syskey密钥加密LC5及其他破解工具利用哈希值来计算口令经syskey加密所得的SAM文件内容无法直接破解Syskey密钥的三种保存方式保存在注册表保存在一张软盘启动时键入第一种情况可破解遇到后二种只能删除口令从SAM和注册表中恢复哈希值实现上述功能的工具：~ncuomo/syskey/与LC5配合即可完成口令破解SAM文件注册表文件system口令哈希解密破解口令解除syskey的操作过程1.获取syskey密钥C:\WINNT\system32\configbkhivesystemc:\thekey2.解密sam文件C:\WINNT\system32\configsamdump2samc:\thekeyc:\samdump.txt应用程序数据电子邮件电子邮件以源码形式保存每封邮件都经过MIME或uuencode编码标题和正文采用的编码各不相同附件用uuencode或base64编码部分删除的邮件仍然存在客户软件定期检查空间利用率浪费率较高时才彻底清除被删邮件OutlookExpress邮件文件保存位置\DocumentsandSettings\username\LocalSettings\ApplicationData\Identities\{EEF61CFE-6AA7-4D18-B86F-276C3B16694F}\Microsoft\OutlookExpress\WINDOWS\Profiles\username\ApplicationData\Identities\{8F3F7600-BA3A-11D8-B67E-000C29D9F256}\Microsoft\OutlookExpress默认在浪费超过20%时压缩邮箱示例：“空”收件箱中的邮件OE邮件恢复工具：R-MailFoxmail邮件保存位置\ProgramFiles\Foxmail\mail同样在浪费超过20%时压缩邮箱每个邮箱一个文件夹.idx是索引文件.box是邮箱内容察看和恢复Foxmail邮件Foxmail5可直接导入邮件账户Foxmail的“修复邮箱”功能可以打捞被删除邮件谢谢