中国司法鉴定 ›› 2021 ›› Issue (2): 50-56.DOI: 10.3969/j.issn.1671-2072.2021.02.008
Windows系统存储区DPAPI的解密技术研究
苏再添1,郭 弘2,王 欣1,吴少华1,吴世雄1
1.厦门市美亚柏科信息股份有限公司,福建 厦门 361008;
2.司法鉴定科学研究院 上海市司法鉴定专业技术服务平台 司法部司法鉴定重点实验室,上海 200063
Research on Decryption Technology of DPAPI in Windows System Storage Area
SU Zaitian1, GUO Hong2, WANG Xin1, WU Shaohua1, WU Shixiong1
1. Xiamen Meiya Pico Information Co., Ltd., Xiamen 361008, China; 2. Shanghai Forensic Service Platform,
Key Laboratory of Forensic Science, Ministry of Justice, Academy of Forensic Science, Shanghai 200063, China
摘要:
目的 在电子数据取证过程中,数据的加解密经常是取证人员关注的重点。数据保护接口(DPAPI)作为Windows系统提供的数据保护接口被广泛使用,目前主要用于保护加密的数据。其特性主要表现在加密和解密必须在同一台计算机上操作,密钥的生成、使用和管理由Windows系统内部完成,如果更换计算机则无法解开DPAPI加密数据。通过对DPAPI加密机制的分析,以达到对Windows系统存储区的DPAPI加密数据进行离线解密的目的。方法 通过深入研究分析Windows XP、Windows 7、Windows 10等多款操作系统的DPAPI加密流程和解密流程,确定系统存储区数据离线解密主要依赖于系统的注册表文件和主密钥文件。结果 利用还原后的解密流程和算法,以及系统的注册表文件和主密钥文件,可以正常解开DPAPI加密数据。结论 该方法可达到对Windows系统存储区的DPAPI加密数据进行离线解密的目的。
中图分类号: