[发明专利]一种离线解析DPAPI加密数据的方法

说明书

技术领域

本发明涉及数据加解密领域，特别是涉及一种离线解析DPAPI加密数据的方法。

背景技术

美国微软公司的Windows操作系统是目前最流行的PC操作系统，其数据安全性一直备受关注。从Windows2000开始，微软提供了一组简单易用的系统级数据保护接口（Data Protection Application Programming Interface，即DPAPI，包含加密函数CryptProtectData和解密函数CryptUnprotectData），为应用程序和操作系统提供数据保护服务。该组接口的显著特点是加密和解密操作必须在同一台计算机上进行，由操作系统内部完成密钥的产生、存储和使用，消除了应用程序密码密钥的管理问题。DPAPI的应用范围十分广泛，如远程桌面密码、FTP账号密码、无线上网密码、EFS的私钥加密、部分邮箱账号密码、常见浏览器的上网自动表单、以及国内外的一些即时通讯软件，在密码密钥的保护上也用到了该组接口。所以离线解析DPAPI加密数据，在电子取证行业有着不小的现实意义。

目前，大部分的取证软件都是采用现场在线的方式解析DPAPI加密数据，即通过直接启动或动态仿真数据源所在的操作系统，登录对应的账户，安装并启动取证软件，软件内部通过调用CryptUnprotectData函数来解密DPAPI的加密数据块，最后在界面上展示结果。这种方法直接依赖于目标源操作系统，如果系统遭破坏无法启动则数据无法解密，且操作过程中容易污染数据源，破坏证据的只读性。

另外，国内虽有一专利提出了针对用户存储区的DPAPI加密数据的解密，该方法能够解析用户账户级的加密数据，但需要事先知道用户登录账户对应的SID和明文密码，否则无法解密，同时该方法只针对DPAPI用户存储区的加密数据，无法针对系统存储区、也就是本机系统级的DPAPI加密数据进行解密。

发明内容

为解决上述技术问题，本发明提供了一种无需依赖于目标数据源所在的操作系统，且无需知道待解密数据源操作系统用户登录账户密码，即可对DPAPI系统存储区的加密数据进行解密的离线解析DPAPI加密数据的方法。

一种离线解析DPAPI加密数据的方法，包括步骤：S1、加载待分析设备数据源，确定待分析设备数据源磁盘Windows操作系统分区；S2、根据所述操作系统分区获取系统账号主密钥文件、System文件和Security文件；S3、通过扫描DPAPI加密块特征值获取待解密文件的DPAPI加密块；S4、解析System文件和Security文件获取Pbkdf2密钥明文；S5、获取解密系统账号主密钥文件所需的关键信息，使用Pbkdf2密钥解密系统账号主密钥文件得到主密钥明文；S6、使用主密钥解密DPAPI加密块得到数据明文。

本发明的有益效果为：本发明通过Pbkdf2密钥解密系统账号主密钥文件得到主密钥明文，由主密钥解密DPAPI加密块得到数据明文，实现对DPAPI系统存储区加密数据进行离线解析，并且本发明无需直接启动或动态仿真数据源所在设备的操作系统就能实现以只读方式读取数据源DPAPI加密数据，无需登录用户的账号和明文密码即可进行数据解密。进一步地，本发明不依赖于WindowsCryptAPI库，无需调用CryptAPI函数接口，可满足跨平台使用的要求。

附图说明

图1为本发明实施方式一种离线解析DPAPI加密数据的方法的流程图。

具体实施方式

为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。

一、对本发明涉及的缩略语和关键术语进行定义和说明：

DPAPI：（Data Protection Application Programming Interface）

加密函数CryptProtectData：微软Windows操作系统提供的加密接口;

解密函数CryptUnprotectData：微软Windows操作系统提供的解密接口；

DPAPI加密块：用加密函数CryptProtectData加密过的数据；