1.一種離線解析DPAPI加密數據的方法，其特征在于，包括步驟：

S1、加載待分析設備數據源，確定待分析設備數據源磁盤Windows操作系統分區；

S2、根據所述操作系統分區獲取系統賬號主密鑰文件、System文件和Security文件；

S3、通過掃描DPAPI加密塊特征值獲取待解密文件的DPAPI加密塊；

S4、解析System文件和Security文件獲取Pbkdf2密鑰明文；

S5、獲取解密系統賬號主密鑰文件所需的關鍵信息，使用Pbkdf2密鑰解密系統賬號主密鑰文件得到主密鑰明文；

S6、使用主密鑰解密DPAPI加密塊得到數據明文。

2.根據權利要求1所述的離線解析DPAPI加密數據的方法，其特征在于，所述步驟S1具體包括步驟：

通過寫保護設備加載待分析設備數據源；

通過識別Windows文件夾、注冊表文件、休眠文件和頁面交換文件的路徑確定待分析設備數據源磁盤Windows操作系統的系統分區。

3.根據權利要求1所述的離線解析DPAPI加密數據的方法，其特征在于，所述步驟S3中DPAPI加密塊特征值為DPAPI加密塊頭部20個固定字節：{0x01,0x00,0x00,0x00,0xD0,0x8C,0x9D,0xDF,0x01,0x15,0xD1,0x11,0x8C,0x7A,0x00,0xC0,0x4F,0xC2,0x97,0xEB}。

4.根據權利要求1所述的離線解析DPAPI加密數據的方法，其特征在于，所述步驟S3還包括記錄DPAPI加密塊在待解密文件中的偏移量。

5.根據權利要求1所述的離線解析DPAPI加密數據的方法，其特征在于，所述步驟S4具體包括步驟：

解析System文件獲取操作系統當前使用的控件組；

根據操作系統當前使用的控件組計算操作系統的syskey；

解析Security文件獲取本地安全認證子系統服務的相關配置信息，從相關配置信息中讀取系統安全策略版本號值PolRevision，判斷PolRevision是否大于0x00010009；

當PolRevision小于0x00010009時，讀取系統安全策略加密密鑰PolSecretEntryptionKey，并讀取Pbkdf2密鑰的密文內容CurrVal；

判斷CurrVal的第八個字節的值是否為1，當為1時，使用Key1對Pbkdf2密文進行DES解密得到Pbkdf2密鑰明文，否則，使用key2對Pbkdf2密文進行DES解密得到Pbkdf2密鑰明文，

所述key1為用Unicode編碼字符串“823543”做為密碼，字符串“823543”的長度和內容做為明文，進行DES加密得到的一個24字節的密文；

所述key2為對syskey進行一次MD5哈希運算，并將該運算結果做為參數對系統安全策略加密密鑰PolSecretEntryptionKey的60～76字節進行1000次的MD5哈希運算得到散列值K1，再將散列值K1做為RC4算法的解密密鑰對PolSecretEncryptionKey的12～60字節進行RC4解密得到的明文；

當PolRevision大于或等于0x00010009時，讀取系統安全策略加密密鑰鏈表PolEKList，對syskey進行一次SHA256哈希運算，并將該運算結果做為參數對PolEKList的28～60字節進行1000次SHA256哈希運算得到散列值K2，將散列值K2做為AES-256算法的解密密鑰對PolEKList60字節之后的內容進行AES-256解密得到PolEKList中密鑰的個數、索引值和對應的密鑰值；

構建一個內容為索引值與密鑰值對應的Pbkdf2密鑰鏈表KeyList，將解密后PolEKList中的索引值和對應的密鑰值導入密鑰鏈表KeyList中；

讀取Pbkdf2密鑰的密文內容CurrVal，在CurrVal的4～20字節中取得PolEKList的密鑰值的索引值，根據該索引值從Pbkdf2密鑰鏈表KeyList中獲取PolEKList的密鑰；

對PolEKList的密鑰進行一次SHA256哈希運算，并將該運算結果做為參數對CurrVal的28～60字節進行1000次SHA256哈希運算得到散列值K3，將散列值K3做為AES-256算法的解密密鑰對CurrVal的60字節之后的內容進行AES-256解密得到Pbkdf2密鑰明文。