|
第十一章 高级应用-2 过滤方法与技巧
本说明中所有图片均出自X-ways
Forensics 及Winhex 13.8及14.0版。
本节,我们通过Winhex/X-Ways
Forensics软件,对“个人密盘”加密工具进行分析,掌握利用Winhex/X-Ways
Forensics软件进行数据过滤方法,以及如何有效利用文件哈希集发现固定哈希值的文件。“个人密盘”是一个数据加密隐藏工具软件。据介绍,该软件利用硬盘的剩余空间,建立一个加密区,将其虚拟为一个逻辑磁盘供用户使用。用户可以根据需要打开或关闭加密区,将需要保护的数据文件存入加密分区,该软件就会自动将数据加密保护,其他人无法发现并调取其中的数据,适用于单位或多人共用的计算机中使用。
以下是作者对其6.9版的描述:“本程序在硬盘内建立特殊的加密区域,并虚拟成一个磁盘,使用时像U盘一样可以随插拔,十分方便,只需将欲加密的文件存入密盘,任何放入该虚拟盘的文件均被加密保护,加密速度极快,加密后通过操作系统或第三方软件均无法访问或删除加密区(密盘),既可以有效保护文件安全,又不影响对文件的操作,不怕掉电,并且可以多用户使用,互不影响,未授权用户无法查看、修改、删除(除非格式化)别人的加密区,支持移动硬盘,让你的重要资料四处漫游而无需担心被窃取,就算丢了硬盘也不怕重要资料外泄,彻底解决您的后顾之忧。实乃IT人士或商务人士必备之工具!”
一、利用“个人密盘”创建加密盘
下载个人密盘6.9试用版后,可发现主程序为SDISK.EXE运行“个人密盘”。
初次运行SDISK,系统提示输入管理员密码。此时可按“确认”键直接进入。后期可设置新用户和密码。
菜单中显示当前系统下所有逻辑盘符,包括硬盘逻辑分区和USB移动闪存。本例中,C、D、E 为硬盘逻辑分区,G 为一个128MB USB
闪存。
选择其中我们希望建立密盘的分区,点击鼠标右键,即可调用鼠标右键菜单。选择“建立密盘”,即可在该分区中建立密盘。但是一个分区中,只可以建立一个密盘。
创建密盘成功后,磁盘图标上会显示一朵小花,或一把锁,表示该逻辑盘中包含有密盘信息。选择右键菜单中的“打开密盘”,即可在“我的电脑”中显示密盘的逻辑盘符。
下图中,显示出我们试验创建的两个密盘,分别为“3(J:)”和“可移动磁盘(I:)”
打开“可移动磁盘(I:)”,我们可以象操作逻辑磁盘分区一样,拷贝或移动数据。为使用Winhex/X-ways
Forensics
进行分析,我们向密盘中拷贝一些数据。并在该位置创建了一个文本文件“Sdisk保存文件的位置.txt”。
此时,密盘以创建成功,我们可以利用Winhex/X-ways Forensics
进行数据分析,看看“个人密盘6.9试用版”是如何隐藏、保护数据的。
二、利用
Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”隐藏数据
调用Winhex/X-ways
Forensics
14.0,创建案件,加载磁盘分区。此时,我们应加载密盘所在的逻辑分区,即原始磁盘分区E和G。
加载G盘后,可以看到磁盘的目录结构。此时显示的,使我们创建了密盘后的分区状态。为了使读者更清楚地明白个人密盘的原理,我们在图中同时显示出创建密盘前的分区状态。比较前后状态,我们即可清楚地发现其中的差别。
创建密盘后,分区中新增加了一个Recycler目录。可见,个人密盘将文件存储到了此目录下。
创建密盘后目录结构
创建密盘前目录结构
思路:
由于我们目前还不掌握“个人密盘”的文件保护方式,因此可以通过两种方法查找加密文件。
1、以文件、目录创建日期为过滤条件
如果密盘生成的文件是以一个单独加密文件形式存在,可根据该文件的生成日期查找到该文件位置。此时,可利用Winhex/X-ways
Forensics的“创建日期”过滤条件,查找所有当时时间段创建的文件。
2、以文件名称为过滤条件
由于我们创建了一个名为“Sdisk保存文件的位置.txt”的文本文件,因此可以利用该文件名作为过滤条件,搜索该文件的位置。
如果“个人密盘”仅仅是通过隐藏方式保护数据,那么通过文件名过滤方式,可以很快地发现数据隐藏位置。
注:Winhex
v14.0版中增加了目录名过滤功能。早期版本无法实现目录名过滤。
我们选用文件名过滤方式,果然快速找到了此文件。说明,“个人密盘”只是一种文件隐藏方式保护软件。
通过路径,我们可以看到,加密文件被保存在以下位置:
G:
\RECYCLER\S-1-5-21-1060284298-813497611-13438020086-500\S-1-5-21-1064224258-813597681-13430823629-500\DDudzA7dSx52125\13609152663
至此,虽然我们只利用Winhex/X-ways
Forensics进行了非常简单地操作,就清楚地了解到该工具软件的数据保护方式:即在磁盘中创建上述路径,同时创建若干无用目录及信息用于伪装,将保护数据保存于其中某特定目录下,达到数据保护的目的。
由于其表现形式为回收站,且为隐含,因此普通工具无法发现并管理该目录,Windows
自带的文件搜索也无法找到这些被隐藏保护的信息。
快速过滤出指定文件
察看目录结构和指定文件位置
三、利用
Winhex/X-ways Forensics 14.0版分析“个人密盘6.9试用版”特征
由于个人密盘只是采用了文件夹隐藏的方式进行数据保护,因此对于Winhex/X-ways
Forensics数据分析工具来说,不具备任何保护能力。通过Winhex/X-ways
Forensics的文件过滤方法,可以直接将各类数据发现并显示出来。
但是,我们目前还有一个问题没有解决,就是如何证明一个磁盘中包含有“个人密盘”的隐藏数据。毕竟,采用此类隐藏保护方式的软件不只一个。发现“Recylcer”目录,也不能就说明是由“个人密盘”这个软件制作的保护。
我们继续利用Winhex/X-ways
Forensics对“个人密盘”进行分析,查找该软件的唯一特征。通过Winhex/X-ways Forensics
浏览G盘目录结构,可发现密盘保存目录名称为13609152663。
利用“个人密盘”在其他分区创建一个新的密盘,发现其路径名称仍为13609152663。试验多次后,发现路径名相同。因此判断,该工具创建密盘后,特征值为13609152663。
为进一步判断我们的推断,将目录名13609152663的第一位1更改为0。如果“个人密盘”无法发现磁盘中包含有原来建立的密盘,则可证明13609152663为该工具软件认定密盘的特征值。
利用Winhex,在扇区中查找13609152663目录名。最简单的查找方法,即返回到上级目录,察看扇区的16进制值即可发现目录区。
在Winhex中(此时需要使用Winhex,因为X-ways
Forensics无法修改其中的数据),将13609152663目录名中的1改为0,保存。
此时,重新调用“个人密盘”,发现原来
G 盘中的“密盘”丢失,状态显示为“未建”。
利用Winhex将修改的目录重新改为1,可发现G盘中密盘状态显示为“已建”。证明我们的推断完全准确。
四、
“个人密盘6.9试用版”特征值
经过上述试验,我们可以准确地判定,如果一个磁盘中的RECYCLER目录下包含有13609152663目录,则可判定该磁盘使用过“个人密盘”创建了数据保护区。
在Winhex/X-ways Forensics 13.9版以后版本中,文件名称过滤方式中,新增添了对目录名的支持。因此可以通过文件名称过滤选项,过滤13609152663目录名,从而发现硬盘中个人密盘的存在。
使用本过滤方式时,注意选中文件名称、展开时显示目录、在目录名称中应用过滤条件三个选项,否则无法过滤并显示出目录名。
针对刚才建立的案件,我们选择在所有磁盘中应用过滤条件,即可发现本案例中共包含有两个密盘目录,证明有两个分区建立了密盘。
五、
“个人密盘6.9试用版”所有文件的MD5哈希值
为了从一个磁盘中查找个人密盘加密工具,最有效的途径就是通过哈希值校验方法进行比对。通过本例,我们一步一步地介绍对利用Winhex/X-ways
Forensics进行哈希值校验的基本方法。
文件摘要,与校验值很相似,是用于校验文件真实性的一串数值。但文件摘要更加强大,它是很强大的单向哈希编码。 Winhex/X-ways Forensics
支持MD5、SHA-1、SHA-256和PSCHF摘要算法。
1、创建已知文件的哈希集。选择希望创建哈希集的文件。本例中,这四个文件是“个人密盘”的原始文件。选择四个人间,点击鼠标右键,选择菜单中的“创建哈希集”命令。
2、选择哈希分类,设定哈希集名称。本例中,我们计算个人密盘的程序文件的MD5哈希值,主要希望确定计算机中包含个人密盘程序,因此,我们将其类型设定为“关注的,恶意的”。
3、Winhex/X-ways
Forensics 提示操作完成,表示哈希集创建成功。哈希库中成功创立“个人密盘”4个文件的哈希值。
4、对整个磁盘进行磁盘快照,选择“计算哈希值”,并选中“依据哈希库比对哈希值”。
5、Winhex/X-ways
Forensics
通过计算机所有文件的MD5哈希值,很快从磁盘中发现了我们所关注的四个文件。哈希库名称显示为“个人密盘0609”,哈希分类显示为“关注的”。借此,我们可以证明,磁盘中的确包含有制作密盘保护区的应用程序。
小结:
本节,我们通过研究个人密盘SDISK
的文件保护方法,介绍了如何利用Winhex/X-ways
Forensics,通过文件名过滤、文件目录结构,分析判断个人密盘的隐藏数据的隐藏方法及存放位置。
同时,通过利用Winhex的磁盘数据的十六进制编辑、修改功能,判定了个人密盘的准确特征,确定了以目录名过滤条件的识别方法。
最后,通过利用Winhex/X-ways
Forensics创建哈希集的方法,利用计算MD5哈希值,准确地发现加密主程序及相关文件,为我们判定加密程序的存在提供了准确依据。
通过本例,读者可以掌握如何利用Winhex/X-ways
Forensics
对各种隐藏方式加密工具进行分析,从而掌握加密保护原理,破解加密保护方法。同时,对于熟练掌握Winhex的使用及数据分析技巧具有一定的帮助作用。
|
