2023年7月31日发(作者:)
/ /2Ol0.06 ————.—— ./ ■doi:10.3969/j.issn.1671—1122 0引言 随着计算机的普及应用, 密码学也得到了飞速的发展。 尤其是近几年网络的高速发展, 原来人们必须亲自去做的事现 在都可以通过网络来完成,因 而对网络传输数据的加密提出 了更高的要求。与加密对应的, 计算机取证过程中经常会遇到 的一个问题是打开一个有密码 史经伟 ,隆波 ,麦永浩 (1武汉大学计算机学院,湖北武汉430072;2.湖北警官学院,湖北武汉430034) 保护的文件,或是经过某种加 密后,显示为乱码的文件,这 就要求取证人员想办法破解密 码,恢复数据的原来面貌。 一辨技辞有机、犯。蜘一鼽槭类他是文 嘲 在、一~舫船必法破码 桶 . 。缔釉一.一 一峨料阢㈠ 懈一溉星} j。 ,1数据解密技术 密码学是研究秘密通信的 原理和破译密码方法的一门科 学,包括密码编码学和密码分析学,即 加密和解密。图l为整个加密、解密的 一的。 吗 过分析密文和明文的统计规律来破译密 罪件文 分进探黝 亍行讨棚 犯文本倒 可加了 驽 到 码。密码分析者对截获的密文进行统计 体现了如下两个特点:多CPU资源和 汁算的伸缩性。 1-2_2分布式网络的密码破解 分析,总结出其问的统计规律,并与明 文的统计规律进行比较,从中提取出明 般过程,其中C=E、lM】为采用加密算 分布式网络密码破解系统的结构分 法E,密钥为K对明文加密密钥,J为 解密密钥,当K=J是对称密码体系,否 则为非对称密码体系。 哳 h’J,, 文和密文之问的对应或变换信息。 1.1.3数学分析攻击法 为协调服务器和运算节点两个部分。其 系统结构图如图所示: 数学分析攻击是指密码分析者针对 j llJ{ 1)协调服务器:对需要解密运算 的资源进行智能分析,根据需要破解资 源类型和破解方式,通过任务分配算法, 进行任务分块处理。 2)运算节点:通过协调服务器获 £ I【 ] l l加、解密算法的数学基础和某些密码学 特性,通过数学求解的方法来破译密码。 图1加密解密的一般过程 1.1传统解密 攻击或破译密码的方法主要有三 1-2分布式解密 网格计算是一种把需要进行大量 计算的工程数据分割成小块,由多台计 种:穷举攻击、统计分析攻击、数学分 析攻击。 1.1.1穷举攻击法 取需要破解内容的任务块,调用相应破 解模块进行破解运算,并且可根据需要 选择CPU占用率,破解优先级等,还 算机分别计算,在上传运算结果后再统 一合并得出数据结论的技术。整个计 所谓穷举攻击是指密码分析者采 算是由成千上万个“节 ”组成的“一张 网格”。这样组织起来的“虚拟的超级 可根据需求,添加解密算法。 用依次试遍所有可能的密钥对所获密文 进行解密,直至得到正确的明文;或者 用一个确定的密钥对所有可能的明文进 行加密,直至得到所获得的密文。只要 有足够的时间和存储空间,穷举攻击法 2数据解密的应用 2.1解密技术在侦查取证中的应用 在对某地方送交的案件进行侦查取 计算机”有两个优势,一个是数据处理 能力超强;另一个是能充分利用网上的 闲置处理能力。 1.2.1分布式网络的设计思想 证过程中遇到了加密的ZIP格式文件, 这给读取其中信息作为证据带来了闲 原则上是可行的,但在实际中,计算时 间和存储空间都受到限制,只要密钥足 分布式网络计算实现过程是对计 算任务进行分布处理,由主任务服务器 对计算内容进行分片处理,分发给各个 难。l0位以下的加密文件能够用10分 钟左右的时间破解,过多位数的加密文 够长,这种方法往往不可行。 1.1.2统计分析攻击法 件则需要使用分布式或多机联合的方 计算节点,通过主任务服务器的协调和 控制,完成对大计算量任务的处理,并 法破解,否则单机破解得到密码的时间 常常要数十4,H ̄t甚至数年。本案例中使 59 统计分析攻击是指密码分析者通 2Ol0_06 用T Advanced ZIP Password Recovery破 解ZIP格式的加密文件,采用暴力破解 法,运行界面如图2所示。 ●■-秘聃● I,,● -_删l毫_确_●r 。 帛 是思。 i 图2 Advanced ZIP Password Recovery 运行界面 在运行了6s左右的时间之后,得 到了该文件的解压密码,可以看到破解 速度还是相当快的,如图3所示,密码 为“一!@#”。 P ●c f 舞 ~_-_-——二I I l^州・*q-・¨ __ p_ c_曲l11鼢 e { 图3破解结果 本案例设置密码位数在l一1O位之 间,除了采用暴力破解法之外还可以采 用字典法、遮盖法、已知明文法等方法。 如图4所示。 Et'cCCt ̄21‰ T ed 0 陬 而 憋 R_ L∞卅l 哺 l Ib髓 1 0曲 I A I R 一dh椭 … “ …一’ m —d -I 爿 _ 日 H # d -I'c 0“, U啪 c神似 p。 伸 5 蚋#b呷 p 图4 AZPR软件的一些设置 2-2一种新型加密、解密工具的介绍 Invisible Secrets是一款独特的加 密工具,除了常规的对各种类型的文 件进行加密之外,它还可以将文件隐 藏到一个指定图片中,而附加了加密 文件的图像。用图像浏览工具(如Picasa 等)浏览时和原来没有任何变化,只是 文件字节长度有了变化。下面就这一 功能进行示范。 1)图5是Invisible Secrets4试用 版打开界面的左上角截图,“Hide Files” 就是将文本隐藏在图片中的功能选项。 2)点击“Hide Files”,然后点击“Add Files”,浏览选择想要隐藏的文件,可 以是任意类型的文件,本示例添加的是 361KB的“报表.xls”文件和168KB的“飞 60 图5 Invisible Secrets4打开界面的截图 鸽.exe”文件,默认下选中的“Compress files”是指隐藏前先将文件压缩;添加 完毕之后点击“next”,选择目标图片, 这里选择的是27.8KB的“风景.JPg”, 下一步输入供将来恢复隐藏文件用的密 码并选择加密算法,这里输入密码“1 23” 并使用AES加密。下一步选择加密后 图片的名称和路径,单击“Next”就可 以最终成功 本例中加密后图片命名 “test.JPg”。“风景.JPg”与“test.JPg”比 较如下: 图6未隐藏文件前的“风景.JPg” 图7隐藏文件后的“test.ipg” 上面两张图片的效果是不是没有一 点变化?除了“test.jpg'’图片大小变成 了399KB,压缩率还是相当高的。“Hide Files”过程中还可以选择成功隐藏后删 除原始文件、删除附加了文件之前的目 标图片、添加伪装文件等功能,而加密 算法则有AES、RC4、Casl128等多种 选择。加密解密使用的算法应一致。 3)“Unhide Files”比较简单,只要 找到使用Invisible Secrets工具隐藏文件 的载体图片,输入加密密码,应用之前 使用的加密算法一路“Next”即可成功。 图8显示了还原效果。 一啪 一・嚏舞 ■回 0 “p …u… b 墨e群 苎糟 女 “ 靠 毒 舞 图8“Unhide Files”的还原效果 3结语 本文就数据解密的一些理论知识和 技术进行了讨论,并通过在侦查取证中的 实际应用说明分析了密码破解的意义,最 后示范了一款形式较新颖的加密解密工 具。要善于把握加密、解密这样一对相 克相生的技术,用户应尽量使用高强度的 加密算法和口令保护个人信 ,而计算机 取证人员应想尽办法破解取证过程中被 加密的文件,还原真实。孽(责编杨晨) 参考文献: 【1I麦永浩,孙国梓,许榕生,戴士剑.计 算机取证与司法鉴定IM】.北京:清华大学 出版社.2009. 【2】胡小红.计算机密码破解原理与应用f3]. 警察技术,2006,4:17-2(). 【3】Palamer G.A Road Map for Digital Forensics Research.Digital Forensics Research Workshop[R】washington:Air Force Research Laboratory,2001 I41佚名ext2/ext3文件系统fDB/O L1. http:/,www cublog Cn/u/23464/showart php?id 208394.2006—1 1—30. 【5】http://www invisiblesecrets.COIl1. 项目支持:①2009年湖北省公安厅软科学项 目:湖北网络舆情管理与引导研究;②2009 年湖北省十一五教育规划项目(2009B044): 网络环境下信息安全专业教学模式创新研究; ⑧湖北省教育厅人文社科项目(2009B330): 湖北网络舆情管理与引导研究;④2010年度 湖北省法学会课题(SFXH210):湖北网络管 理与发展立法研究;⑤湖北警官学院项目 作者简介:史经伟(1988一),男,硕士研究生, 主要研究方向:信息安全;隆波(1979一), 男,硕士研究生,主要研究方向:计算机取 证、等级保护;麦永浩(1959一),男,教授, 博士后,主要研究方向:信息安全、电子取 证等。
2023年7月31日发(作者:)
/ /2Ol0.06 ————.—— ./ ■doi:10.3969/j.issn.1671—1122 0引言 随着计算机的普及应用, 密码学也得到了飞速的发展。 尤其是近几年网络的高速发展, 原来人们必须亲自去做的事现 在都可以通过网络来完成,因 而对网络传输数据的加密提出 了更高的要求。与加密对应的, 计算机取证过程中经常会遇到 的一个问题是打开一个有密码 史经伟 ,隆波 ,麦永浩 (1武汉大学计算机学院,湖北武汉430072;2.湖北警官学院,湖北武汉430034) 保护的文件,或是经过某种加 密后,显示为乱码的文件,这 就要求取证人员想办法破解密 码,恢复数据的原来面貌。 一辨技辞有机、犯。蜘一鼽槭类他是文 嘲 在、一~舫船必法破码 桶 . 。缔釉一.一 一峨料阢㈠ 懈一溉星} j。 ,1数据解密技术 密码学是研究秘密通信的 原理和破译密码方法的一门科 学,包括密码编码学和密码分析学,即 加密和解密。图l为整个加密、解密的 一的。 吗 过分析密文和明文的统计规律来破译密 罪件文 分进探黝 亍行讨棚 犯文本倒 可加了 驽 到 码。密码分析者对截获的密文进行统计 体现了如下两个特点:多CPU资源和 汁算的伸缩性。 1-2_2分布式网络的密码破解 分析,总结出其问的统计规律,并与明 文的统计规律进行比较,从中提取出明 般过程,其中C=E、lM】为采用加密算 分布式网络密码破解系统的结构分 法E,密钥为K对明文加密密钥,J为 解密密钥,当K=J是对称密码体系,否 则为非对称密码体系。 哳 h’J,, 文和密文之问的对应或变换信息。 1.1.3数学分析攻击法 为协调服务器和运算节点两个部分。其 系统结构图如图所示: 数学分析攻击是指密码分析者针对 j llJ{ 1)协调服务器:对需要解密运算 的资源进行智能分析,根据需要破解资 源类型和破解方式,通过任务分配算法, 进行任务分块处理。 2)运算节点:通过协调服务器获 £ I【 ] l l加、解密算法的数学基础和某些密码学 特性,通过数学求解的方法来破译密码。 图1加密解密的一般过程 1.1传统解密 攻击或破译密码的方法主要有三 1-2分布式解密 网格计算是一种把需要进行大量 计算的工程数据分割成小块,由多台计 种:穷举攻击、统计分析攻击、数学分 析攻击。 1.1.1穷举攻击法 取需要破解内容的任务块,调用相应破 解模块进行破解运算,并且可根据需要 选择CPU占用率,破解优先级等,还 算机分别计算,在上传运算结果后再统 一合并得出数据结论的技术。整个计 所谓穷举攻击是指密码分析者采 算是由成千上万个“节 ”组成的“一张 网格”。这样组织起来的“虚拟的超级 可根据需求,添加解密算法。 用依次试遍所有可能的密钥对所获密文 进行解密,直至得到正确的明文;或者 用一个确定的密钥对所有可能的明文进 行加密,直至得到所获得的密文。只要 有足够的时间和存储空间,穷举攻击法 2数据解密的应用 2.1解密技术在侦查取证中的应用 在对某地方送交的案件进行侦查取 计算机”有两个优势,一个是数据处理 能力超强;另一个是能充分利用网上的 闲置处理能力。 1.2.1分布式网络的设计思想 证过程中遇到了加密的ZIP格式文件, 这给读取其中信息作为证据带来了闲 原则上是可行的,但在实际中,计算时 间和存储空间都受到限制,只要密钥足 分布式网络计算实现过程是对计 算任务进行分布处理,由主任务服务器 对计算内容进行分片处理,分发给各个 难。l0位以下的加密文件能够用10分 钟左右的时间破解,过多位数的加密文 够长,这种方法往往不可行。 1.1.2统计分析攻击法 件则需要使用分布式或多机联合的方 计算节点,通过主任务服务器的协调和 控制,完成对大计算量任务的处理,并 法破解,否则单机破解得到密码的时间 常常要数十4,H ̄t甚至数年。本案例中使 59 统计分析攻击是指密码分析者通 2Ol0_06 用T Advanced ZIP Password Recovery破 解ZIP格式的加密文件,采用暴力破解 法,运行界面如图2所示。 ●■-秘聃● I,,● -_删l毫_确_●r 。 帛 是思。 i 图2 Advanced ZIP Password Recovery 运行界面 在运行了6s左右的时间之后,得 到了该文件的解压密码,可以看到破解 速度还是相当快的,如图3所示,密码 为“一!@#”。 P ●c f 舞 ~_-_-——二I I l^州・*q-・¨ __ p_ c_曲l11鼢 e { 图3破解结果 本案例设置密码位数在l一1O位之 间,除了采用暴力破解法之外还可以采 用字典法、遮盖法、已知明文法等方法。 如图4所示。 Et'cCCt ̄21‰ T ed 0 陬 而 憋 R_ L∞卅l 哺 l Ib髓 1 0曲 I A I R 一dh椭 … “ …一’ m —d -I 爿 _ 日 H # d -I'c 0“, U啪 c神似 p。 伸 5 蚋#b呷 p 图4 AZPR软件的一些设置 2-2一种新型加密、解密工具的介绍 Invisible Secrets是一款独特的加 密工具,除了常规的对各种类型的文 件进行加密之外,它还可以将文件隐 藏到一个指定图片中,而附加了加密 文件的图像。用图像浏览工具(如Picasa 等)浏览时和原来没有任何变化,只是 文件字节长度有了变化。下面就这一 功能进行示范。 1)图5是Invisible Secrets4试用 版打开界面的左上角截图,“Hide Files” 就是将文本隐藏在图片中的功能选项。 2)点击“Hide Files”,然后点击“Add Files”,浏览选择想要隐藏的文件,可 以是任意类型的文件,本示例添加的是 361KB的“报表.xls”文件和168KB的“飞 60 图5 Invisible Secrets4打开界面的截图 鸽.exe”文件,默认下选中的“Compress files”是指隐藏前先将文件压缩;添加 完毕之后点击“next”,选择目标图片, 这里选择的是27.8KB的“风景.JPg”, 下一步输入供将来恢复隐藏文件用的密 码并选择加密算法,这里输入密码“1 23” 并使用AES加密。下一步选择加密后 图片的名称和路径,单击“Next”就可 以最终成功 本例中加密后图片命名 “test.JPg”。“风景.JPg”与“test.JPg”比 较如下: 图6未隐藏文件前的“风景.JPg” 图7隐藏文件后的“test.ipg” 上面两张图片的效果是不是没有一 点变化?除了“test.jpg'’图片大小变成 了399KB,压缩率还是相当高的。“Hide Files”过程中还可以选择成功隐藏后删 除原始文件、删除附加了文件之前的目 标图片、添加伪装文件等功能,而加密 算法则有AES、RC4、Casl128等多种 选择。加密解密使用的算法应一致。 3)“Unhide Files”比较简单,只要 找到使用Invisible Secrets工具隐藏文件 的载体图片,输入加密密码,应用之前 使用的加密算法一路“Next”即可成功。 图8显示了还原效果。 一啪 一・嚏舞 ■回 0 “p …u… b 墨e群 苎糟 女 “ 靠 毒 舞 图8“Unhide Files”的还原效果 3结语 本文就数据解密的一些理论知识和 技术进行了讨论,并通过在侦查取证中的 实际应用说明分析了密码破解的意义,最 后示范了一款形式较新颖的加密解密工 具。要善于把握加密、解密这样一对相 克相生的技术,用户应尽量使用高强度的 加密算法和口令保护个人信 ,而计算机 取证人员应想尽办法破解取证过程中被 加密的文件,还原真实。孽(责编杨晨) 参考文献: 【1I麦永浩,孙国梓,许榕生,戴士剑.计 算机取证与司法鉴定IM】.北京:清华大学 出版社.2009. 【2】胡小红.计算机密码破解原理与应用f3]. 警察技术,2006,4:17-2(). 【3】Palamer G.A Road Map for Digital Forensics Research.Digital Forensics Research Workshop[R】washington:Air Force Research Laboratory,2001 I41佚名ext2/ext3文件系统fDB/O L1. http:/,www cublog Cn/u/23464/showart php?id 208394.2006—1 1—30. 【5】http://www invisiblesecrets.COIl1. 项目支持:①2009年湖北省公安厅软科学项 目:湖北网络舆情管理与引导研究;②2009 年湖北省十一五教育规划项目(2009B044): 网络环境下信息安全专业教学模式创新研究; ⑧湖北省教育厅人文社科项目(2009B330): 湖北网络舆情管理与引导研究;④2010年度 湖北省法学会课题(SFXH210):湖北网络管 理与发展立法研究;⑤湖北警官学院项目 作者简介:史经伟(1988一),男,硕士研究生, 主要研究方向:信息安全;隆波(1979一), 男,硕士研究生,主要研究方向:计算机取 证、等级保护;麦永浩(1959一),男,教授, 博士后,主要研究方向:信息安全、电子取 证等。
![7.1.1 常见的操作系统攻击方式[共2页]](/uploads/image/0277.jpg)
发布评论