徐志强-加密磁盘取证技术.pdf

在当今数字化时代，随着数据安全性的日益重要，加密磁盘取证技术成为了一门不可或缺的专业领域。徐志强，一位在该领域具备深厚背景的专家，在“电子取证技术分论坛”上发表了关于加密磁盘取证技术的演讲。徐志强不仅是美国EnCase认证调查员和讲师，也是美国ISC2认证电子取证专家，他还拥有中国电子数据取证调查员资格，并且是中国政法大学、江西警察学院等多所高校的特聘研究员与客座讲师。他的研究和经验为我们揭示了加密磁盘取证的关键技术与方法。 在加密磁盘取证领域，首要的技术点是磁盘加密类型及其应用。徐志强介绍了硬件级加密和软件级加密两大类。硬件级加密包括磁盘固件加密和加密芯片，而软件级加密则涵盖全盘/卷加密和加密容器。 磁盘固件加密起源于1997年发布的ATA-3规范，它支持硬盘数据安全保护，并允许通过BIOS或第三方软件设置硬盘保护密码。常见的磁盘固件加密方式支持主密码和用户密码两种密码设置，同时可以实现两种安全级别：High和Maximum。 针对固件加密的硬盘，取证方法通常包括获取磁盘固件信息以直接提取硬盘密码，或者采用固件替换法绕过硬盘密码保护。取证工具如ATOLA Insight和PC-3000 UDMA在这一过程中发挥着关键作用。 加密芯片加密方式通常基于独立的加密芯片，可以使用如AES这样的工业级加密算法实现数据的真正加密。这种加密方式符合美国FIPS 197信息处理标准，越来越多的硬盘厂商提供内置加密芯片的移动硬盘，并内置硬盘加密管理工具，例如西部数据的WDDriveUnlock工具。 软件级加密一般分为全盘加密和加密容器。全盘加密指的是将整个磁盘或磁盘的某个卷进行加密，常见的软件如BitLocker、SafeBoot、PGP等。这种加密方式部署灵活简单，支持对操作系统所在分区加密，从而极大地提升了系统分区的数据安全性。 全盘加密软件有各自的特征模式和特征字符。例如，BitLocker在不同版本的操作系统中有着不同的偏移量和特征字符。BitLocker在Windows Vista系统中的特征字符是EB52902D4656452D46532D，而在Windows 7/8系统中则为EB58902D4656452D46532D。这些特征字符有助于取证人员在数据恢复和分析过程中识别和处理数据。 加密容器是另一种软件级加密方式，它为特定文件或数据提供加密保护。与全盘加密相比，加密容器在需要保护的特定文件或文件夹级别上提供加密，增加了数据保护的灵活性。 徐志强对加密磁盘取证技术的讲解涵盖了从硬件到软件的各种加密方式，以及针对不同类型加密的取证方法和工具。他的分享不仅为电子取证行业的从业者提供了宝贵的知识资源，也为相关领域的研究和学习人员提供了深刻的见解。随着技术的持续发展和加密技术在数据安全中的普遍应用，掌握这些加密磁盘取证技术将变得越来越重要。