浅谈数据恢复.ppt

Advance Office XP Recovery Advance ZIP Recovery Advance RAR Recovery Advance PDF Recovery

口令破解
本地口令的获取

许多软件或Windows功能允许保存口令
聊天工具 电子邮件客户端 拨号网络或VPN 网上邻居访问口令

优点：不破坏任何原有数据 困难：syskey机制的存在
Windows的syskey机制
单向加密 LC5及其他破解工具利 用哈希值来计算口令 哈希值
用户口令
经syskey加密所得 的SAM文件内容 无法直接破解
用syskey密钥加密
SAM文件
Syskey密钥的三种保存方式
保存在注册表 保存在一张软盘 启动时键入 第一种情况可破解 遇到后二种只能删除 口令

如： Advanced EFS Data Recovery
方法三：运行可疑系统后破解口令
LC5工具：http://www.stake.com 优点：破解速度快，效率高 缺点：

必须知道管理员口令 必须进入被调查的操作系统


发现的用户口令可能有其他作用，如：
Winrar口令？ 邮箱口令？

交换文件中包含大量关机前的现场信息
加密文件的解密版本 当时曾经阅读过的文档


交换文件位置：

Windows 95/98/Me

Windows目录
Windows NT/2000/XP/2003
系统分区根目录pagefile.sys 休眠文件hiberfil.sys有同样价值

示例：交换文件中的信息

默认在浪费超过20%时压 缩邮箱
示例：“空”收件箱中的邮件
OE邮件恢复工具：R-Mail
Foxmail

邮件保存位置
\Program Files\Foxmail\mail 同样在浪费超过20%时 压缩邮箱 每个邮箱一个文件夹 .idx是索引文件 .box是邮箱内容





察看和恢复Foxmail邮件

支持的分区格式

testdisk（2）

假定分区存在并尝试在硬盘上搜寻
testdisk(3)

列出候选分区的文件
加密和破解
加密的基本原理
密钥 明文 加密算法 密文
算法是公开的 密钥是保密的 破解密文破的就是密钥

破解密文或口令的基本方法
密码分析学 已知明文 选择明文 选择密文 专业性强 适用于早期的 winzip、winrar和 ms-office文件
用户账号的口令都保存在硬盘上 口令单向加密后保存


普通加密：可逆的，双向
明文密文明文
单向加密：不可逆的
明文哈希值

单向加密所得的哈希值可以进行破解
字典破解 暴力破解

Windows口令保存的缺陷

Windows NT/2000/XP/2003口令在长度 小于等于14个子符时默认会生成LM Hash
从运行中的系统上提取交换文件
系统禁止读取交换文件内容 Windows 2000以上可以利用sleuth kit来 提取

./fls -f ntfs "\\\\.\\e:"|grep pagefile.sys ./icat -f ntfs “\\\\.\\e:” (入口点数字) >pagefile.img

从SAM和注册表中恢复哈希值
解密
SAM文件
口令哈希
破解口令
注册表文件 system
实现上述功能的工具： http://studenti.unina.it/~ncuomo/syskey/ 与LC5配合即可完成口令破解

解除syskey的操作过程
1. 2.
获取syskey密钥
解密sam文件
C:\WINNT\system32\config>bkhive system c:\thekey

LC5界面
用Advanced Windows Password Recovery破解口令
提取自动登录口令 提取当前登录账号的口令 提取拨号网络口令 提取口令哈希值并破解

方法四：不运行可疑系统直接破解

这是理想的破解口令操作
1. 2.
3.
复制可疑硬盘 从复制的可疑硬盘中提取口令哈希值 运行破解工具对哈希值进行破解

方法一：直接删除口令

口令保存的位置
\winnt\system32\config\SAM \winnt\system32\system


删除SAM文件可以清除全部口令

副作用大：丢失所有用户账号
方法二：修改管理员口令

Offline NT Password & Registry Editor
Winrar
非常强
口令>5个字符就很难 破解
可以彻底破解 只读口令可立即破解
Acobat PDF 4.0以下，中等 5.0以上，强度较高
常用破解工具
AccessData Password Recovery Toolkit AccessData Distributed Network Attack Advance Recovery系列

EFS文件系统

NTFS特有的加密文件系统 采用证书/私钥机制加密 用户透明的加密操作 离开原有操作系统后需要SAM文件和以下之一


Syskey密钥 加密者的口令 Recovery Agent口令(如果存在)

破解口令、进入系统后可以直接阅读 专用工具可直接打开EFS文件系统
分析FileSlack
File Slack示意图：“浪费”的部分就是File Slack
利用了12000字节 “浪费”288字节
4096
4096
4096
共占用三个簇 12288字节
File Slack实例
分区表修复工具testdisk


http://www.cgsecurity.org/index.html?testdisk.html 支持平台
Ms-Office文件的解密

寻找形如~WRL0002.tmp的临时文件
Word异常退出的残留 可以用word打开 可能形成于文件被加密之前


寻找wbk文件
人们往往编辑完文件才加密 这样一来备份文件就是不加密的

使用破解工具的破解效率
Microsoft® Money
Microsoft® Access 6/95/97/2000/XP Microsoft® Word 6/95
浅谈数据恢复
------------应用于计算机取证
中科院高能物理研究所 郑捷文
硬盘数据恢复
硬盘数据的分布
典型的硬盘空间分配情况 无法利用的空间
逻辑分区
逻辑分区
主分区 分区表 未分区空间
扩展分区 分区空间
硬盘分区实例
硬盘末尾的不可分配空间
可恢复数据的位置
未分区空间 未分配的磁盘空间 被标记为坏区的空间
立即被破解
立即被破解
立即被破解
Microsoft® Word 97/2000/XP, 只读口令可立即被破解 Microsoft® Excel 97/2000/XP 打开口令需要用字典或暴力破 解 高效的软件能够在15天内彻底 破解
其他加密文件破解
文件类型 Winzip 加密强度 存在可以提高破解 速度的漏洞 破解难度 Winzip 8.1以下版本 可以被彻底破解

部分删除的邮件仍然存在
客户软件定期检查空间利用率 浪费率较高时才彻底清除被删邮件

Outlook Express

邮件文件保存位置


\Documents and Settings\username\Local Settings\Application Data\Identities\{EEF61CFE6AA7-4D18-B86F276C3B16694F}\Microsoft\Ou tlook Express \WINDOWS\Profiles\usernam e\Application Data\Identities\{8F3F7600BA3A-11D8-B67E000C29D9F256}\Microsoft\O utlook Express

未分区空间中的数据
文件系统未分配空间中的数据
从交换文件中寻找信息

Windows在物理内存不足时用硬盘虚拟
将内存中的暂时无用的数据写入到硬盘 待需要使用时再从硬盘读入 上ቤተ መጻሕፍቲ ባይዱ过程用到的文件称为交换文件


用拔电源的方法关机

如果shutdown，交换文件是空的
从交换文件中寻找信息（2）


拨号网络和VPN口令 网上邻居访问口令 Windows 95/98/ME/NT4/2000/XP自动登录口令 Windows 95/98/ME/NT4/2000/XP登录口令 破解Windows 95/98/Me的PWL文件 显示为”***”的口令
Windows 95/98/Me的PWL文件
密码猜测
字典：基于普通单词的 效率严重依赖于对 高使用率口令 字典的选择 受训的猜测：人们习惯 使用的密码
暴力破解：对口令的所 理论上总是可行， 有可能性进行尝试 但是密钥长度太长 时时间耗费太长而 无法实行
破解密文或口令的取巧方法
搜寻口令 网络窃听 提取口令 获取口令 物理搜索：口令可能写在纸上 逻辑搜索：口令可能记录在文档中 从网络中捕获明文或加密的口令 加密的口令可以用工具进行破解 逻辑搜索：在系统注册表、交换文件、 内存等位置查找口令 要求犯罪嫌疑人提供口令


聊天工具
QQ： MSN和Yahoo messanger


Advance IM Password Recovery
本地口令的获取(2)
电子邮件客户端：Advance Mailbox Password Reovery 其他：Advance Windows Password Recovery

http://home.eunet.no/~pnordahl/ntpasswd
EBCD – Emergency Boot CD

http://ebcd.pcministry.com/
http://sourceforge.net/projects/austrumi
Austrumi

进入系统后可用LC5破解其他用户口令 副作用：EFS加密文件夹失效
C:\WINNT\system32\config>samdump2 sam c:\thekey >c:\samdump.txt
应用程序数据
电子邮件

电子邮件以源码形式保存
每封邮件都经过MIME或uuencode编码 标题和正文采用的编码各不相同 附件用uuencode或base64编码

大小写不敏感 口令被分为两组，每组0~7个字符保存 破解难度相当于7个字符 大部分口令都满足这种情况

用户可能会禁止生成LM Hash 口令超过14字符时也不生成LM Hash

各种对付Windows口令的方法
直接删除口令 修改管理员口令 运行可疑系统后破解 不运行可疑系统直接破解
Foxmail 5可直接导入邮件账户 Foxmail的“修复邮箱”功能可以打捞被 删除邮件

谢谢
保存了用户口令 可以用Advance Windows Password Recovery破解 运行sysedit，在system.ini中可以找到其 位置：

[Password Lists] A=C:\WINDOWS\A.PWL ZHENGJW=C:\WINDOWS\ZHENGJW.PWL
Windows NT/2000/XP/2003口令

DOS/Win9x Windows NT 4/2000/XP/2003 Linux FreeBSD FAT12 FAT16 FAT32 Linux EXT2/EXT3 Linux SWAP (version 1 and 2) NTFS (Windows NT/W2K/XP) BeFS (BeOS) UFS (BSD) Netware ReiserFS