密码恢复和数据解密

本文由小茆同学编译，陈裕铭、金恒源校对，转载请注明。

访问加密信息的途径有很多，包括实时系统分析、使用外部启动取证工具、分析睡眠/休眠文件以及利用 TPM 漏洞，而密码恢复或许是最后的选择。

每种方法都有不同的资源要求，应按资源密集程度，从耗时最低到耗时最多的顺序使用。熟悉不同的加密恢复策略，并了解保护较弱或已知漏洞的数据格式。

当出现加密证据时，一般会想到的是“我需要破解密码”。但是，通过恢复原始明文密码来解密受保护的信息虽是最直接但却是效率最低的方法。由于大多数加密方式都是为了抵御几十万轮哈希密码攻击而设计的，所以即使是破解一个简单的密码，也可能需要几天、几个月或几年的时间。在现实生活中，通过攻击密码成功破解加密的机会其实很低。例如，《When Encryption Baffles the Police: A Collection of Cases》一书的作者描述了多达55起涉及数据加密的刑事案件。在17个案例中，加密被完全或部分破解，成功率仅有30%。

通过除明文密码攻击以外的其他技术来解密信息，可以提高成功率。如果对加密数字证据的访问优先于检索明文密码，则可能会有许多更有效的解决方案可用。不同的访问加密数据的方法有着不同的资源要求，例如相关专家设置攻击所花费的时间以及执行攻击所需的时间会有所不同。我们建议先尝试资源密集程度最低的方法，只有在所有其他选项都用尽时才使用更耗时的方法（如暴力破解）。

以下是我们首选的恢复方法：

1. 加密磁盘和虚拟机：实时系统分析。此方法（如果可用）可以检索二进制加密密钥和/或对已挂载磁盘的文件系统进行镜像，而无需长时间的暴力攻击。

2. 实时系统分析：如果您有权访问经过身份验证的用户会话，请在关闭计算机之前充分利用它。即使不使用全磁盘加密，某些数据（如受 DPAPI 保护的项目）也只有在用户使用其密码登录时才能访问。受 DPAPI 保护的项目包括保存在 Web 浏览器（Chrome、Edge 等）中的密码、网络共享的密码、密钥、令牌和证书。

3. 处于睡眠/休眠状态的计算机：分析page/hibernation文件的磁盘加密密钥。请记住，易失性虚拟机镜像也可能存储在 RAM 中。

4. 考虑使用外部启动的取证工具来快速镜像内置存储介质并提取加密元数据。

5. BitLocker 磁盘：请考虑使用 TPM 漏洞来解锁 BitLocker 启动驱动器，然后再删除用于镜像的存储介质。

6. 加密磁盘：使用取证磁盘解密器分析page/hibernation文件（搜索加密密钥）。此分析不需要经过身份验证的用户会话。

7. 某些数据格式具有较弱的保护或已知漏洞。熟悉这些格式，例如以旧格式（如 .doc/.xls 而不是 .docx/.xlsx）保存的 Microsoft Office 文档。

8. 使用分级策略，优先考虑弱保护文件。

9. 密码恢复。这只能用作最后的手段，但或许可以采用智能攻击和/或由用户的其他密码（例如，从钥匙串/Web 浏览器中提取）组成的自定义词典等来进行密码恢复。