浅谈数据恢复.ppt

浅谈数据恢复 应用于计算机取证 中科院高能物理研究所 郑捷文 硬盘数据恢复 硬盘数据的分布 硬盘分区实例 硬盘末尾的不可分配空间 可恢复数据的位置 未分区空间 未分配的磁盘空间 被标记为坏区的空间 未分区空间中的数据 文件系统未分配空间中的数据 从交换文件中寻找信息 Windows在物理内存不足时用硬盘虚拟 将内存中的暂时无用的数据写入到硬盘 待需要使用时再从硬盘读入 上述过程用到的文件称为交换文件 用拔电源的方法关机 如果shutdown，交换文件是空的 从交换文件中寻找信息（2） 交换文件中包含大量关机前的现场信息 加密文件的解密版本 当时曾经阅读过的文档 交换文件位置： Windows 95/98/Me Windows目录 Windows NT/2000/XP/2003 系统分区根目录pagefile.sys 休眠文件hiberfil.sys有同样价值 示例：交换文件中的信息 从运行中的系统上提取交换文件 系统禁止读取交换文件内容 Windows 2000以上可以利用sleuth kit来提取 ./fls -f ntfs \\\\.\\e:|grep pagefile.sys ./icat -f ntfs “\\\\.\\e:” (入口点数字) pagefile.img 分析FileSlack File Slack实例 分区表修复工具testdisk /index.html?testdisk.html 支持平台 DOS/Win9x Windows NT 4/2000/XP/2003 Linux FreeBSD 支持的分区格式 FAT12 FAT16 FAT32 Linux EXT2/EXT3 Linux SWAP (version 1 and 2) NTFS (Windows NT/W2K/XP) BeFS (BeOS) UFS (BSD) Netware ReiserFS testdisk（2） 假定分区存在并尝试在硬盘上搜寻 testdisk(3) 列出候选分区的文件 加密和破解 加密的基本原理 破解密文或口令的基本方法 破解密文或口令的取巧方法 Ms-Office文件的解密 寻找形如~WRL0002.tmp的临时文件 Word异常退出的残留 可以用word打开 可能形成于文件被加密之前 寻找wbk文件 人们往往编辑完文件才加密 这样一来备份文件就是不加密的 使用破解工具的破解效率 其他加密文件破解 常用破解工具 AccessData Password Recovery Toolkit AccessData Distributed Network Attack Advance Recovery系列 Advance Office XP Recovery Advance ZIP Recovery Advance RAR Recovery Advance PDF Recovery 口令破解 本地口令的获取 许多软件或Windows功能允许保存口令 聊天工具 电子邮件客户端 拨号网络或VPN 网上邻居访问口令 聊天工具 QQ： MSN和Yahoo messanger Advance IM Password Recovery 本地口令的获取(2) 电子邮件客户端：Advance Mailbox Password Reovery 其他：Advance Windows Password Recovery 拨号网络和VPN口令 网上邻居访问口令 Windows 95/98/ME/NT4/2000/XP自动登录口令 Windows 95/98/ME/NT4/2000/XP登录口令 破解Windows 95/98/Me的PWL文件 显示为”***”的口令 Windows 95/98/Me的PWL文件 保存了用户口令 可以用Advance Windows Password Recovery破解 运行sysedit，在system.ini中可以找到其位置： [Password Lists] A=C:\WINDOWS\A.PWL ZHENGJW=C:\WINDOWS\ZHENGJW.PWL Windows NT/2000/XP/2003口令 用户账号的口令都保存在硬盘上 口令单向加密后保存 普通加密：可逆的，双向 明文?密文?明文 单向加密：不可逆的 明文?哈希值 单向加密所得的哈希值可以进行破解 字典破解 暴力破解 Windows口令保存的缺陷 Windows NT/2000/XP/2003口令在长度小于等于14个子符时默认会生成LM Hash 大小写不敏感 口令被分为两组，每组0~7个字符保存 破解难度相当于7个字符 大部分口令都满足这种情况 用户可能会禁止生成