本發明公開了一種BitLocker加密卷的口令恢復方法、設備及介質，其中口令恢復方法包括以下步驟：S1.對需要分析的加密卷進行鏡像，得到該加密卷的鏡像文件；S2.判斷當前加密卷是否為BitLocker加密卷，若是，則執行下一步驟；S3.解析并提取BitLocker加密卷的加密參數，包括加密算法類型、卷主密鑰VMK加密數據及MAC校驗值；S4.基于提取的加密參數進行口令恢復。本發明可用于Windows操作系統下采用BitLocker加密保護的硬盤非系統分區的認證口令恢復，以及采用BitLockerToGo加密保護的移動存儲介質的認證口令恢復。

技術領域

本發明涉及電數字數據處理技術領域，尤其涉及一種BitLocker加密卷的口令恢復方法、設備及介質。

背景技術

BitLocker全稱BitLocker Driver Encryption，是微軟公司推出的操作系統中的重要安全模塊，最早出現于Windows Vista系統，可以從系統分區加密、數據分區加密和移動存儲設備加密3個方面保護用戶數據存儲安全，防止因存儲介質丟失導致數據泄漏。

在學術領域，有學者提出了一些在線攻擊BitLocker的方法。Sarma首先證明了磁盤加密軟件在特定運行環境(如已被植入木馬)下，磁盤加密軟件不足以保證數據的安全性；其次指出在物理內存可接觸的情況下，磁盤加密軟件可能會遭受到一定的攻擊；最后，提出在權限足夠的情況下，可通過在內存中更改BitLocker代碼的方式實現對BitLocker的攻擊。Benjamin等人提出了一種基于火線的身份認證繞過方法，屬于物理攻擊范疇，該攻擊前提是BitLocker設置為基礎模式才可使得攻擊成功，即目標主機需配置TPM(TrustedPlatform Module，可信賴平臺模塊)芯片，且不設置PIN碼。顯然，在攻擊實施前，BitLocker密鑰已經讀入內存。通過冷啟動攻擊也可以從內存中讀取BitLocker密鑰，但實施該攻擊的條件苛刻。在一般的電子取證場景，技術人員接觸的目標計算機都是關機的，甚至僅能拿到目標計算機硬盤的鏡像數據，因此上述攻擊方法對電子取證業務無多大幫助。

通常來講，在線攻擊BitLocker加密卷實用性不強，因此采用離線攻擊方式是最符合電子取證業務需求的。對BitLocker的離線攻擊一般分為兩種，第一種是找到恢復密鑰直接解密，第二種是通過暴力破解BitLocker加密卷認證口令進行攻擊。BitLocker加密卷創建后，會生成一個恢復密鑰文件，在用戶忘記加密卷認證口令時或無法進入系統分區加密的操作系統時，可通過輸入恢復密鑰文件中的48位數字后訪問加密卷。一般來說，BitLocker用戶一般會把恢復密鑰文件存儲在一個相對安全的地方，不會輕易存儲在硬盤本地，因此第一種離線攻擊方法在大部分情形下是不可行的。

發明內容

為了解決上述問題，本發明提出一種BitLocker加密卷的口令恢復方法、設備及介質，可用于1)Windows操作系統下采用BitLocker加密保護的硬盤非系統分區的認證口令恢復；2)Windows操作系統下采用BitLockerToGo加密保護的移動存儲介質的認證口令恢復。本發明提出的口令恢復方法屬于離線攻擊方式，雖然對計算資源要求較高，但隨著高性能密碼破解芯片技術以及口令猜測技術的發展，從目前來看，通過本發明提出的方法對BitLocker加密卷實施口令破解是最可行的。

本發明采用的技術方案如下：

一種BitLocker加密卷的口令恢復方法，包括以下步驟：

S1.對需要分析的加密卷進行鏡像，得到該加密卷的鏡像文件；

S2.判斷當前加密卷是否為BitLocker加密卷，若是，則執行下一步驟；

S3.解析并提取BitLocker加密卷的加密參數：對基于口令保護的BitLocker加密卷進行加密參數提取，用于BitLocker加密卷的口令恢復，其中加密參數包括加密算法類型、卷主密鑰VMK加密數據及MAC校驗值；