陈江勇
- 作品数:5 被引量:3H指数:1
- 供职机构:厦门市美亚柏科信息股份有限公司更多>>
- 相关领域:自动化与计算机技术更多>>
- DPAPI离线解密方法及其取证应用被引量:2
- 2013年
- 数据保护接口是微软从Windows 2000开始引入的一种简易程序接口,主要为应用程序和操作系统程序提供高强度的数据加密和解密服务。Windows系统用户大量的私密数据都采用了DPAPI进行加密存储,而这些私密数据在取证过程中往往扮演着十分重要的角色。针对目前大部分取证软件无法快速解密这些私密数据的问题,文章首先分析了DPAPI的加密机制,接着给出了DPAPI加密数据的离线解密方法,并在此基础上设计实现了DPAPI的解密工具,最后以实际例子演示了DDT在取证中的应用。
- 钱镜洁林艺滨陈江勇
- 关键词:主密钥取证
- 一种DPAPI加密数据的解密方法和系统
- 本发明提供了一种DPAPI加密数据的解密方法和系统,方法包括:对数据源所在设备进行加载;在数据源中识别出Windows系统所在系统分区并读取其内文件;获取需要解密的文件和所有用户的主密钥文件;在需要解密的文件中获取所有D...
- 陈江勇钱镜洁林艺滨
- 文献传递
- 一种加密文件系统数据的恢复方法和装置
- 本发明提供了一种加密文件系统数据的恢复方法和装置,其中,方法包括获取加密文件的完整文件和/或碎片文件;解析出加密文件的私钥GUID、公钥指纹和FEK;根据私钥GUID和公钥指纹提取私钥,利用私钥解密FEK以得到FEK明文...
- 陈江勇钱镜洁林艺滨
- 文献传递
- 一种DPAPI加密数据的解密方法和系统
- 本发明提供了一种DPAPI加密数据的解密方法和系统,方法包括:对数据源所在设备进行加载;在数据源中识别出Windows系统所在系统分区并读取其内文件;获取需要解密的文件和所有用户的主密钥文件;在需要解密的文件中获取所有D...
- 陈江勇钱镜洁林艺滨
- 文献传递
- EFS离线解密方法及其取证应用被引量:1
- 2013年
- 微软从Windows 2000开始引入加密文件系统(EFS)。EFS是集成在NTFS文件系统中的一个组件,允许用户对NTFS分区上的文件进行加解密。针对目前大部分的取证软件无法实现对EFS加密文件快速取证等问题,文章首先讨论了EFS的加密原理,接着提出了EFS的离线解密方法,并在此基础上设计了EFS取证工具(FET)。EFT摆脱了对目标数据源上操作系统的依赖,能够同时对目标数据源上多个不同用户的EFS加密文件进行快速检索和批量取证。实践表明,EFT能够极大提高办案人员的取证效率。
- 钱镜洁林艺滨陈江勇
- 关键词:加密文件系统加密取证
