level 6
应天瑞0Hq
楼主
转自“铁花留香”的新浪博客
传统观点一直认为,经过可靠加密的文件是不可能被破解的。
不过现在市面上出现了一款价值300美元的傻瓜式操作软件,可以破解掉经由BitLocker、PGP、TrueCrypt加密的文件、文件夹和硬盘——无论它们所用的密码有多强。
这个消息可能会让你夜不能寐。上个月,Elcomsoft公司发布了Elcomsoft Forensic Disk Decryptor(Elcomsoft硬盘取证解密器,简称为EFDD)软件。据说这个软件不用去猜测密码或进行暴力破解就可以打开加密的文件。实际上对于这个软件而言,待破解的文件或文件夹使用了什么样的密码并无所谓。在EFDD面前,由一串长长的随机字符构成的密码,比如像“bS2f#[voIT+?@=Uq3a,.B”这样的密码,其所提供的保护并不比简单如“password”或“12345”这样的密码更好。
那可不是什么好消息。那还有什么好消息吗?好消息是,EFDD只能在一组限定的前提条件下才会有用——而那些前提条件是相当容易就可以避免的。再者,就为了快速破解加密数据,似乎也不是人人都会掏出300块钱去购买EFDD。此外,尽管EFDD是傻瓜式操作,但它也并不是非常易于使用。
不通过猜测密码来破解加密
首先需要指出很重要的一点,那就是类似于EFDD这样的软件有着合法的法律用途。如果有用户忘记了自己的密码,那么这些取证软件可以让他们能够重新访问那些“丢失”的数据。如果有公司职员故意或不小心锁住了公司的关键商业文件,那么这些密码破解工具就是相当合法的恢复工具。
类似于EFDD这样合法使用的其它软件还有Windows系统自带的EFS(加密文件系统)——我并不推荐这个加密工具。Windows系统会自动解密由EFS加密的文件(前提是你要
正确的
登录到系统中)。由于这个解密的过程是透明的,因此你甚至都可能会忘记自己已经对文件进行了加密。这样一来,当你的电脑崩溃或者你必须重新安装Windows的时候,你会突然发现那些被加密的文件无法再访问了。微软提供了一个修补工具,但需要你提前有所准备。
也许不经意间,电脑的主人就会因电脑死机而无法访问那些由EFS加密的文件。然后当他通过一个USB适配器(译注:应该是指硬盘盒)把自己的硬盘接入另一台电脑的时候,结果会让他非常郁闷:那些文件无法再访问了。不过,他还是幸运的。因为使用Elcomsoft的另一个取证软件“高级EFS数据恢复”,他最终还是可以解开那些文件的。但是,如果其他人偷窃了那个硬盘,也可能会做相同的事情。
的确,任何能被用于合法目的的事物也会被恶意软件所使用——且经常如此。几乎没有什么实际可行的方法来控制哪些人可以使用对密码或加密文件进行破解的软件。
破解密码是解开加密文件最常用的一种方法,但并非唯一之道。当你刚才或之前打开加密文件时,密钥可能位于内存中的某处。或许,如果Windows用光了物理内存,那些密钥也可能会在系统的交换文件中。另外,如果你的电脑设置了休眠的话,它们还可能隐藏在休眠文件中。
EFDD(或类似软件)会在上述那些位置搜寻可能存在的密钥。然后它会在被加密的文件上尝试它所找到的任何密钥。这种方法有时候灵,有时候则不行。
EFDD破解加密所用的方法并不是什么闻所未闻的手段。其它类似软件也会在电脑中搜寻加密文件所使用的密钥。特殊之处在于,EFDD是专门针对经由BitLocker、PGP和TrueCrypt加密的数据——而使用加密软件的用户一般都认为这三者是坚不可破的。
EFDD会让破解加密文件变得容易吗?
作为文件加密的强烈支持者,EFDD激起了我的兴趣。因为这个软件似乎将会成为数据安全的一个严重威胁。于是,我决定测试一下这个软件,看看其是否能破解掉我的TrueCrypt卷。
在运行EFDD前,我先加载了TrueCrypt卷,打开了其中的一些文件,然后又关闭了此卷。如果加密密钥留在了内存中的某处或临时的系统文件(比如页面文件)中,那么它现在应该还在那儿。
EFDD开始运行后似乎是世界上最简单的软件。会有一个设置向导询问一些十分容易的问题,比如我想破解哪种类型的加密(图1)、在哪寻找密钥(图2)等等。
图1.EFDD的设置向导会让你选择待破解的加密类型。
图2.向导同时会让你选择加密密钥可能的所在之处。
接着EFDD问我内存转储文件在哪儿——这个文件在被创建时会包含有系统内存中的所有数据。我必须自己创建这个转储文件,因为EFDD不会替我生成这个文件。EFDD的帮助文件中推荐使用MoonSols Windows Memory Toolkit软件的社区免费版本,这是一个命令行程序而且须要以管理员的身份来运行。在经过了一些令人泄气的尝试后,最终我生成了两个完全不同类型的内存转储文件。结果是,EFDD未能在这两个转储文件中找到任何正确的密钥。
由于EFDD也能在Windows系统的休眠文件中搜寻密钥,因此我再次加载TrueCrypt卷,访问了几个文件,然后休眠了我的电脑。之后又将电脑唤醒。接着我关闭了TrueCrypt卷,最后用EFDD尝试。这次我倒不用创建转储文件,我只要“告诉”EFDD去访问休眠文件“c:\hiberfil.sys”即可。结果与上次没有区别:EFDD还是未能找到任何密钥。
这证明了你无法从一个被唤醒的休眠电脑中挖掘出数据。于是我再次进行了尝试:我先把电脑进入休眠状态,然后用另外一个可引导的硬盘启动了Windows系统。(译注:相当于在同一台电脑上启动了另外一个硬盘中的Windows系统,原来的那个硬盘就成了电脑中的普通硬盘了)不幸的是,这个Windows系统不允许我访问之前的那个休眠文件。(译注:别忘了,此时之前那个硬盘上包括Windows系统文件夹在内的所有文件夹都成了普通文件夹了)
我多次尝试用EFDD破解我的TrueCrypt卷,但结果均告失败。这是否意味着这个软件没什么价值呢?也许并不是。因为无论从哪方面来看我都不是一个专业黑客。更熟悉此中门道的人或许就可以用EFDD很轻松的破解掉我的TrueCrypt卷。不过有一点可以肯定,那就是EFDD并不会使破解加密变得容易。
免遭恶意破解软件的攻击
为了能够成功破解,EFDD及其它类似软件都需要在一系列前提条件下才能起作用,而这些条件是绝大多数PC用户很容易就可以避开的。
内存转储操作需要管理员级帐户才能进行。这样,如果你的系统密码不容易被猜出(而且你没有因为要分享电脑而又单独设置了一个不可靠的管理员级账户——如果有这种情况,那么无论如何,你的电脑还是有风险的),那么你的电脑就应当是安全的。(译注:实际上,为了安全起见,你自己都没有必要非使用管理员级系统用户不可。但是我们绝大多数人习惯于使用管理员级账户——无论是默认的还是后来设置的)
如果你离开的时候没有让电脑开着且未加防护,那么它至少是安全的。在离开电脑之前,应关闭电脑或者使用Windows的锁定功能,或是进入睡眠模式(记住,即使你加密了整个硬盘或使用了Windows的EFS系统,但当你登录到系统中且打开了一些加密文件的时候,那么任何人都能访问这些文件)。
我建议不要使用自动加密/解密。使用手工输入密码来打开加密卷的方式更为安全。也许这种做法值得商榷,但是如果你时刻注意提醒自己在需要时打开加密文件、在其余时间则将其关闭的话,那么你犯错误的可能性会很小——即在应当关闭的时候却仍然打开着。
那么,休眠文件会如何呢?本质上,休眠文件也是一种内存转储文件,它包含有你上次休眠电脑时内存中的所有文件。除非你加密了整个硬盘,那么一个技术精通的犯罪分子可能会将你的硬盘接到另一台电脑上,然后使用EFDD扫描休眠文件以便搜寻加密密钥。(译注:在上文中,作者说他用另一个硬盘中的系统启动电脑,然后访问原来系统中的休眠文件,当前的系统不允许他访问)
为了安全,绝对不要在加密文件打开的时候休眠你的电脑。在休眠之前确保已经关闭了任何加密文件——或者干脆不要用休眠模式。试试睡眠模式,它不会比休眠模式更耗电。 我钟爱的TrueCrypt软件提供了另外一种防护法。在界面中选择“Settings/Preferences”。在“Preferences”对话框中的“Auto-Dismount”部分,选中三个选项(如图3所示):“Screen saver is launched”、“Entering power saving mode”以及“Force auto-dismount even if volume contains open files or directories”。事实上,为了安全,你可以勾选这部分的所有选项。
图3.TrueCrypt的增强安全选项(黄色加亮)
类似于EFDD这样的软件既可以大显身手,但也可能是危险的。不过,只要预先采取了恰当的防范措施(当然,还需要一个长且难以猜测的密码),那么你就可以高枕无忧了。
原文:https://windowssecrets.com/top-story/legitimate-app-breaks-popular-encryption-systems/
2013年08月20日 14点08分
1
传统观点一直认为,经过可靠加密的文件是不可能被破解的。
不过现在市面上出现了一款价值300美元的傻瓜式操作软件,可以破解掉经由BitLocker、PGP、TrueCrypt加密的文件、文件夹和硬盘——无论它们所用的密码有多强。
这个消息可能会让你夜不能寐。上个月,Elcomsoft公司发布了Elcomsoft Forensic Disk Decryptor(Elcomsoft硬盘取证解密器,简称为EFDD)软件。据说这个软件不用去猜测密码或进行暴力破解就可以打开加密的文件。实际上对于这个软件而言,待破解的文件或文件夹使用了什么样的密码并无所谓。在EFDD面前,由一串长长的随机字符构成的密码,比如像“bS2f#[voIT+?@=Uq3a,.B”这样的密码,其所提供的保护并不比简单如“password”或“12345”这样的密码更好。
那可不是什么好消息。那还有什么好消息吗?好消息是,EFDD只能在一组限定的前提条件下才会有用——而那些前提条件是相当容易就可以避免的。再者,就为了快速破解加密数据,似乎也不是人人都会掏出300块钱去购买EFDD。此外,尽管EFDD是傻瓜式操作,但它也并不是非常易于使用。
不通过猜测密码来破解加密
首先需要指出很重要的一点,那就是类似于EFDD这样的软件有着合法的法律用途。如果有用户忘记了自己的密码,那么这些取证软件可以让他们能够重新访问那些“丢失”的数据。如果有公司职员故意或不小心锁住了公司的关键商业文件,那么这些密码破解工具就是相当合法的恢复工具。
类似于EFDD这样合法使用的其它软件还有Windows系统自带的EFS(加密文件系统)——我并不推荐这个加密工具。Windows系统会自动解密由EFS加密的文件(前提是你要
正确的
登录到系统中)。由于这个解密的过程是透明的,因此你甚至都可能会忘记自己已经对文件进行了加密。这样一来,当你的电脑崩溃或者你必须重新安装Windows的时候,你会突然发现那些被加密的文件无法再访问了。微软提供了一个修补工具,但需要你提前有所准备。
也许不经意间,电脑的主人就会因电脑死机而无法访问那些由EFS加密的文件。然后当他通过一个USB适配器(译注:应该是指硬盘盒)把自己的硬盘接入另一台电脑的时候,结果会让他非常郁闷:那些文件无法再访问了。不过,他还是幸运的。因为使用Elcomsoft的另一个取证软件“高级EFS数据恢复”,他最终还是可以解开那些文件的。但是,如果其他人偷窃了那个硬盘,也可能会做相同的事情。
的确,任何能被用于合法目的的事物也会被恶意软件所使用——且经常如此。几乎没有什么实际可行的方法来控制哪些人可以使用对密码或加密文件进行破解的软件。
破解密码是解开加密文件最常用的一种方法,但并非唯一之道。当你刚才或之前打开加密文件时,密钥可能位于内存中的某处。或许,如果Windows用光了物理内存,那些密钥也可能会在系统的交换文件中。另外,如果你的电脑设置了休眠的话,它们还可能隐藏在休眠文件中。
EFDD(或类似软件)会在上述那些位置搜寻可能存在的密钥。然后它会在被加密的文件上尝试它所找到的任何密钥。这种方法有时候灵,有时候则不行。
EFDD破解加密所用的方法并不是什么闻所未闻的手段。其它类似软件也会在电脑中搜寻加密文件所使用的密钥。特殊之处在于,EFDD是专门针对经由BitLocker、PGP和TrueCrypt加密的数据——而使用加密软件的用户一般都认为这三者是坚不可破的。
EFDD会让破解加密文件变得容易吗?
作为文件加密的强烈支持者,EFDD激起了我的兴趣。因为这个软件似乎将会成为数据安全的一个严重威胁。于是,我决定测试一下这个软件,看看其是否能破解掉我的TrueCrypt卷。
在运行EFDD前,我先加载了TrueCrypt卷,打开了其中的一些文件,然后又关闭了此卷。如果加密密钥留在了内存中的某处或临时的系统文件(比如页面文件)中,那么它现在应该还在那儿。
EFDD开始运行后似乎是世界上最简单的软件。会有一个设置向导询问一些十分容易的问题,比如我想破解哪种类型的加密(图1)、在哪寻找密钥(图2)等等。
图1.EFDD的设置向导会让你选择待破解的加密类型。 图2.向导同时会让你选择加密密钥可能的所在之处。接着EFDD问我内存转储文件在哪儿——这个文件在被创建时会包含有系统内存中的所有数据。我必须自己创建这个转储文件,因为EFDD不会替我生成这个文件。EFDD的帮助文件中推荐使用MoonSols Windows Memory Toolkit软件的社区免费版本,这是一个命令行程序而且须要以管理员的身份来运行。在经过了一些令人泄气的尝试后,最终我生成了两个完全不同类型的内存转储文件。结果是,EFDD未能在这两个转储文件中找到任何正确的密钥。
由于EFDD也能在Windows系统的休眠文件中搜寻密钥,因此我再次加载TrueCrypt卷,访问了几个文件,然后休眠了我的电脑。之后又将电脑唤醒。接着我关闭了TrueCrypt卷,最后用EFDD尝试。这次我倒不用创建转储文件,我只要“告诉”EFDD去访问休眠文件“c:\hiberfil.sys”即可。结果与上次没有区别:EFDD还是未能找到任何密钥。
这证明了你无法从一个被唤醒的休眠电脑中挖掘出数据。于是我再次进行了尝试:我先把电脑进入休眠状态,然后用另外一个可引导的硬盘启动了Windows系统。(译注:相当于在同一台电脑上启动了另外一个硬盘中的Windows系统,原来的那个硬盘就成了电脑中的普通硬盘了)不幸的是,这个Windows系统不允许我访问之前的那个休眠文件。(译注:别忘了,此时之前那个硬盘上包括Windows系统文件夹在内的所有文件夹都成了普通文件夹了)
我多次尝试用EFDD破解我的TrueCrypt卷,但结果均告失败。这是否意味着这个软件没什么价值呢?也许并不是。因为无论从哪方面来看我都不是一个专业黑客。更熟悉此中门道的人或许就可以用EFDD很轻松的破解掉我的TrueCrypt卷。不过有一点可以肯定,那就是EFDD并不会使破解加密变得容易。
免遭恶意破解软件的攻击
为了能够成功破解,EFDD及其它类似软件都需要在一系列前提条件下才能起作用,而这些条件是绝大多数PC用户很容易就可以避开的。
内存转储操作需要管理员级帐户才能进行。这样,如果你的系统密码不容易被猜出(而且你没有因为要分享电脑而又单独设置了一个不可靠的管理员级账户——如果有这种情况,那么无论如何,你的电脑还是有风险的),那么你的电脑就应当是安全的。(译注:实际上,为了安全起见,你自己都没有必要非使用管理员级系统用户不可。但是我们绝大多数人习惯于使用管理员级账户——无论是默认的还是后来设置的)
如果你离开的时候没有让电脑开着且未加防护,那么它至少是安全的。在离开电脑之前,应关闭电脑或者使用Windows的锁定功能,或是进入睡眠模式(记住,即使你加密了整个硬盘或使用了Windows的EFS系统,但当你登录到系统中且打开了一些加密文件的时候,那么任何人都能访问这些文件)。
我建议不要使用自动加密/解密。使用手工输入密码来打开加密卷的方式更为安全。也许这种做法值得商榷,但是如果你时刻注意提醒自己在需要时打开加密文件、在其余时间则将其关闭的话,那么你犯错误的可能性会很小——即在应当关闭的时候却仍然打开着。
那么,休眠文件会如何呢?本质上,休眠文件也是一种内存转储文件,它包含有你上次休眠电脑时内存中的所有文件。除非你加密了整个硬盘,那么一个技术精通的犯罪分子可能会将你的硬盘接到另一台电脑上,然后使用EFDD扫描休眠文件以便搜寻加密密钥。(译注:在上文中,作者说他用另一个硬盘中的系统启动电脑,然后访问原来系统中的休眠文件,当前的系统不允许他访问)
为了安全,绝对不要在加密文件打开的时候休眠你的电脑。在休眠之前确保已经关闭了任何加密文件——或者干脆不要用休眠模式。试试睡眠模式,它不会比休眠模式更耗电。 我钟爱的TrueCrypt软件提供了另外一种防护法。在界面中选择“Settings/Preferences”。在“Preferences”对话框中的“Auto-Dismount”部分,选中三个选项(如图3所示):“Screen saver is launched”、“Entering power saving mode”以及“Force auto-dismount even if volume contains open files or directories”。事实上,为了安全,你可以勾选这部分的所有选项。
图3.TrueCrypt的增强安全选项(黄色加亮)类似于EFDD这样的软件既可以大显身手,但也可能是危险的。不过,只要预先采取了恰当的防范措施(当然,还需要一个长且难以猜测的密码),那么你就可以高枕无忧了。
原文:https://windowssecrets.com/top-story/legitimate-app-breaks-popular-encryption-systems/
