RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
微软Surface设备取证CCFC峰会研习会干货小课堂第
  • 作者:admin
  • 发表时间:2017-09-07 11:01
  • 来源:未知

  在干货小课堂中,我们会分享第十三届CCFC计算机取证峰会嘉宾的演讲内容;考虑到易读性,我们还会帮助补充一些背景知识。

  内容要点:

  为什么要做Surface设备的取证?

  Surface设备的概念和特点

  Surface取证的困难和障碍

  克服Surface取证障碍的方法和成果

  为什么要做Surface设备的取证?

  如今,由于商务、会议、学习等各项活动中都需要携带电脑,电池续航久、性能又强且便于携带的笔记本和平板电脑逐渐成为主流。

  微软近年来也在硬件上投入研发了Surface平板电脑及笔记本,其工艺和设计也相当优秀,完全不亚于亚于苹果MacBook笔记本。 因此,Surface用户的涌现,让我们意识到这是取证中不能忽视的一部分。

  然而,由于Surface独特的硬件设计,针对其做取证的过程存在很多难点,而能够参考的案例和研究报告并不多见,因此我们需要对Surface取证做更进一步的研究,并不断寻求突破。

  Surface设备的概念和特点

  Surface设备的概念:

  Surface是微软推出的第一款平板设备,也是微软全新操作系统Windows RT的硬件寄托之一。微软在2012年六月洛杉矶的发布会上推出了这款标新立异的产品,它融合笔记本电脑和平板为一身,不仅是市场上从未出现过的设备,也是微软试水个人电脑市场的第一步。

  Surface设备的特点:

  这些特点都是从技术方面而非功能方面总结的。

  1. UEFI :统一的可扩展固件接口,是Intel 为 PC 固件的体系结构、接口和服务提出的建议标准。这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上。

  2. SecureBoot:Secure Boot是一种在固件上阻止未被验证的引导系统的技术。UEFI 2.3.1 Errata C规范定义了SecureBoot,其目的是基于签名验证技术的安全启动方式。

  3. TPM安全芯片:符合TPM(可信赖平台模块)标准的安全芯片,它能有效地保护PC、防止非法用户访问。

  4. 磁盘数据加解密:Surface支持设备加密来保护设备数据的安全,该功能是使用了基于TPM的BitLocker加密技术。

  5. Surface设备的操作系统一般分为两大类,一类是常见Windows系统,一类是Windows RT。Windows RT是微软在Windows 8的基础上,专门为ARM架构开发的操作系统,与Windows 8有着很大差别; 在Windows RT环境下无法运行以往在PC上使用的一些软件,无法运行传统Windows应用程序。

  Surface取证的困难和障碍

  前面介绍的Surface的特点同样也是Surface取证困难的主要原因。

  无法拆卸:

  Surface 产品无法像普通的PC及笔记本电脑一样方便地拆卸硬盘进行取证。

  Bitlocker加密:

  Surface产品的硬盘均带有Bitlocker加密方式,可以有效保护用户数据。所以Surface产品取证的难点主要在于如何从外部启动并且得到非加密的数据。

  直接外部启动会失败:

  因为Surface默认启用了SecureBoot,只有被平台密钥签名过的驱动程序和加载程序可以被固件进行加载。用户可以进入UEFI设置来关闭SecureBoot,从而可以用第三方取证光盘引导启动,但如果设备启用了Bitlocker全盘加密,禁用SecureBoot会导致系统要求输入Bitlocker恢复密钥。

  TPM加密:

  部分Surface设备内置有TPM芯片用于数据的加密,对于被TPM加密的数据,只能在该设备上进行解密。

  Windows RT系统取证难点:

  1. Surface RT设备都是基于ARM架构的,很难找到可以直接引导的启动盘;

  2. Windows RT默认启用了设备加密(硬盘数据被加密);

  3. Surface需要采取开机取证的方式,这就要突破微软的RT程序签名验证。

  克服Surface取证障碍的方法和成果

  Surface镜像方法:

  如果在设备开机的情况下直接使用工具制作镜像,全盘镜像会无法解密,所以务必选择逻辑分区的镜像,这种镜像才能在其他计算机上加载分析。如果设备已关机,可以使用定制的取证系统引导启动并制作镜像,但同样只有制作逻辑镜像才能进行下一步的解析。

  恢复Bitlocker密钥的研究成果:

  Bitlocker恢复密钥是一串48位的数据,可能保存在计算机或微软OneDrive中。取证实践中可以根据恢复密钥的特点对整个存储介质进行搜索:①48位数字;②每8位为一组;③每8位数字均可以被11整除;④每8位数字大小必须小于2^16*11(720896)。

  Surface RT取证分三步走:

  1. 对设备进行越狱,具体可以使用RT Jailbreak工具进行;

  2. 是使用Lock & Code的acquisition tool获取硬盘数据,该工具经过了微软签名验证,可以在RT平台上运行;

  3. 备份Bitlocker恢复密钥。

  具体怎么做?往下看……

  没错!小编要到了徐志强老师的PPT文稿,现在大方分享给大家,由于版面较多,就不直接贴出来了。想看详细步骤请复制下面的链接哦!

  《微软Surface设备取证》PDF版下载地址:

  http://pan.baidu.com/s/1jHZX6WQ

  密码:CCFC

  申明:PDF文稿的版权归徐志强老师所有,仅用于学习和交流,不可另作他用。

  徐志强

  厦门市兴百邦科技有限公司 | 首席技术官

  中华全国律师协会 | 信息网络与高新技术专委会 | 特邀委员

  美国EnCase认证调查员(EnCE)—中国大陆首位获得

  美国Accessdata认证调查员(ACE)—中国大陆首位获得

  美国ISC2认证电子取证专家(CCFP) —中国大陆首位获得

  美国EnCase认证讲师 -2008年获得讲师资格

  中国计算机学会高级会员

  美国高科技犯罪调查协会会员(HTCIA)

  美国注册舞弊审查师协会会员(ACFE)

  徐志强老师同时还兼职全国多个高等院校的研究员和研究生导师。他主编的著作有:《电子证据提取与分析》《数据恢复与取证》《手机取证技术》《信息加解密技术》等,参编了清华大学出版的《电子数据取证》专业系列教材。