[发明专利]一种TrueCrypt解密密钥提取方法、终端设备及存储介质

说明书

本发明涉及一种TrueCrypt解密密钥提取方法、终端设备及存储介质，该方法中，首先从内存镜像中提取所有TrueCrypt.exe进程信息，并组成进程信息集合K；之后针对K中的每个元素，依次对其CRYPTO_INFO结构中的K2字段、master_keydata字段和SectorSize字段的内容格式进行校验，剔除不符合要求的元素后，将K中剩余元素的master_keydata字段的内容作为TrueCrypt.exe进程的主密钥。本发明需依赖加密容器的加密方式，无需知道加密容器密码，即可对加密容器的加密数据的主密钥进行提取，同时也满足对证据源解密的需求。

技术领域

本发明涉及计算机技术领域，尤其涉及一种TrueCrypt解密密钥提取方法、终端设备及存储介质。

背景技术

TrueCrypt是全球著名的、开源并支持跨平台的虚拟加密磁盘软件。目前广泛应用于加密系统。该软件能够保证数据在线装载和存储前被自动进行快速加解密而不需要用户的干预。同时还采用虚拟磁盘技术，使用高强度密码算法对用户敏感数据进行保护，受到了广大用户的喜爱。该软件的广泛使用给数据取证带来了巨大的挑战，因此，解密TrueCrypt加密数据，在电子取证行业有着重要意义。

TrueCrypt作为一款免费开源的加密软件，除了能够跨平台使用外，还提供了不同的加密算法供用户进行选择。这些加密算法包括：AES、Twofish、Serpent以及它们的各种组合算法。TrueCrypt有许多重要的特性，主要包括：不可破解(高安全性)、透明加密、隐藏分区等特点。但是，由于加密后的文件没有固定的特征并且加密方式的多样性。导致未知密码及加密方式时如何解密成为了一个电子取证工作中的一个难点。

发明内容

为了解决上述问题，本发明提出了一种TrueCrypt解密密钥提取方法、终端设备及存储介质。

具体方案如下：

一种TrueCrypt解密密钥提取方法，包括以下步骤：

S1：加载内存镜像，从内存镜像中提取所有TrueCrypt.exe进程信息，并组成进程信息集合K；

S2：针对进程信息集合K中的每个元素，解析其VAD address字段以读取该进程信息对应的物理内存，从物理内存内读取该进程信息对应的CRYPTO_INFO结构，对CRYPTO_INFO结构进行解析，判断其内的K2字段是否满足校验参数的格式要求，如果满足，继续对进程信息集合K中的下一个元素进行处理，如果不满足，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S3；

S3：针对进程信息集合K中的每个元素，如果该元素对应的CRYPTO_INFO结构中的K2字段的内容不全为零，则计算K2字段的内容中每个字符出现的频率是否均小于第一频率阈值，如果是，继续对进程信息集合K中的下一个元素进行处理，否则，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S4；

S4：针对进程信息集合K中的每个元素，提取该元素对应的CRYPTO_INFO结构中的master_keydata字段的内容，并判断master_keydata字段的内容中每个字符出现的频率是否均小于第二频率阈值，如果是，继续对进程信息集合K中的下一个元素进行处理，否则，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S5；

S5：针对进程信息集合K中的每个元素，提取该元素对应的CRYPTO_INFO结构中的SectorSize字段的内容，并判断SectorSize字段的内容是否等于设定的扇区大小，如果是，继续对进程信息集合K中的下一个元素进行处理，否则，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S6；

S6：针对进程信息集合K中的每个元素，提取该元素对应的CRYPTO_INFO结构中的master_keydata字段的内容作为TrueCrypt.exe进程的主密钥。