禁書下載 | 禁書 - 禁書網

以下內容來自《廣東公安科技》2011年4月，TrueCrypt加密之後的取證方法。全文見附件。
TrueCrypt加密之後的文件，目前沒有好的辦法破解，因此在調查取證的時候，可以考慮以下方法：

4.1 分析和檢查是否有TrueCrypt加密之後的文件存在。
(a) TrueCrypt加密之後的文件沒有固定的特徵，如果加密者把這樣的文件保存為常見格式的文件時，利用Encase、Winhex、取證大師等軟體分析文件特徵，對於不匹配的文件重點分析，進行排查是否為加密文件；
(b) 搜索系統所安裝軟體，包括歷史安裝記錄，檢查是否有安裝TrueCrypt軟體的
痕迹；
(c) 搜索大文件，作為加密容器，一般都存放著多個文件，因此，較大的文件可能性會比較大，不過也不排除特別重要的文件單獨加密的可能。

4.2 TrueCrypt能設置雙層加密，即在一個加密卷中再隱藏另一個加密卷，隱藏卷形象的來說就是「嵌套」在普通加密卷裡邊的。當用戶被脅迫解密加密卷時，用戶可以把隱藏加密卷的「外套」普通加密卷解密，透露一些無關緊要的信息，而真正的受保護的信息則隱藏在隱藏卷中，數據得以保護。加密卷的載入流程如下圖所示：


對於此類情況，首先要考慮是否能得到隱藏卷的密碼，如果不能，應該把數據備份之後，用無用數據填充的方式覆蓋普通卷空余的空間，可以把偽裝在普通卷裏面的數據破壞，讓加密者自己也無法再恢復這些隱藏的數據。

4.3 TrueCrypt對數據的操作都是在內存(RAM)中進行，因此軟體不確定是否在計算機的內存中保存有密碼、主密鑰和一些未加密的數據。而最新的研究成果顯示，即使計算機關機后，內存保存的資料，包括加密程序的安全鎖和口令仍未消失，最長可能達數分鐘之久，透過冷凍計算機記憶晶元，還可延長內存暫存資料的時間，普林斯頓大學一班計算機保安專家組成的研究小組組長-計算機科學家費爾滕解釋：只要以液態氮(攝氏-196度)冷凍計算機晶元，即使電源已中斷，內存仍可保持狀態至少數小時。然後將晶元安裝回計算機，就可讀取裏面的資料。

4.4 在使用者機器上安裝使用間諜或者監控程序，開機自動運行，利用鍵盤記錄鉤子記錄TrueCrypt載入卷的密碼。此外，還可以利用政策，社會工程學方法(如通過其他途徑獲得其他帳號密碼或者其他方面的信息來分析加密文件的密碼)等方式來獲取密碼，並注意是否可以獲取隱藏卷的密碼。

5 總結
TrueCrypt是全球著名的開源加密軟體，有著安全、易用、功能強大等優點，也適用於可移動存儲設備的加密。隨著在國內應用的推廣，對使用該軟體加密之後的計算機數據的取證也變得越來越困難，因此有必要對這方面加強研究，總結規律，以提高取證的效率。

相關軟體和教程：
TrueCrypt加密雙系統創建教程
加密盤、加密分區、加密操作系統常見安全問答