[发明专利]TrueCrypt加密软件口令恢复方法、加密数据取证系统及存储介质

权利要求书

1.一种TrueCrypt加密软件口令恢复方法，其特征在于，包括以下步骤：

步骤一：快速识别TrueCrypt加密容器，搜索出可疑度较高的加密容器；加密容器识别包括对加密全盘、加密分区和加密文件卷三种容器形式的识别；

步骤二：提取加密容器的头部数据，并按照TrueCrypt密文数据组织结构进行格式字段解析，解析出用于口令破解的参数字段；

步骤三：利用目标人员的社会工程学信息和基础口令字典生成用于破解的定向智能口令字典，破解加密容器的口令。

2.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法，其特征在于，加密全盘的识别方法包括：如果在启动计算机时出现TrueCrypt Boot Loader和输入口令的提示，则磁盘使用了全盘加密。

3.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法，其特征在于，加密分区的识别方法包括：如果不是全盘加密，则计算机操作系统能正常启动，从软件安装记录或注册表确认是否安装了TrueCrypt；在确认安装了TrueCrypt后，若点击某个分区不显示分区大小，并且操作系统提示该分区未被格式化，则该分区高概率为TrueCrypt的加密分区。

4.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法，其特征在于，加密文件卷的识别方法包括：

检查文件大小是否为512字节的整数倍，若不是，则不认为是TrueCrypt的加密文件卷；若文件大小过小，则也不认为是TrueCrypt的加密文件卷；

检查文件签名，若文件签名是已知的文件类型，则不认为是TrueCrypt的加密文件卷；所述文件签名指文件开头位置标识一个文件类型的几个特征字节；

计算文件的信息熵，若低于门限值，则不认为是TrueCrypt的加密文件卷；设文件含有N个字节，不同的字节一共有n个，数据中每个字节Ci的数量为N_i，则字节Ci出现的频率为P_i＝N_i/N；记文件的信息熵为E，利用以下公式计算出文件的信息熵E：

E＝-Sum(P_i*log(P_i))

其中log表示以2为底的对数运算，Sum表示求和运算，求和的指标从1到n；

若文件大小、文件签名和文件的信息熵均满足加密文件卷的识别方法的判定条件，且不能被文件类型对应的应用程序正常打开，则该文件高概率为TrueCrypt的加密文件卷。

5.根据权利要求4所述的一种TrueCrypt加密软件口令恢复方法，其特征在于，信息熵的门限值包括7.9。

6.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法，其特征在于，步骤二包括以下子步骤：

提取加密容器中连续的512字节的头部数据；加密容器的头部数据提取的开始位置，采用相对加密容器第0个数据的偏移量来表示；头部数据提取后，按照TrueCrypt密文数据组织结构对512字节的头部数据进行解析，得到用于口令破解的参数字段，包括随机的salt字段、版本标识字段和CRC32校验字段。

7.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法，其特征在于，目标人员的社会工程学信息包括目标人员的个人详细信息、以前使用过的口令和其他应用软件中使用的口令。

8.根据权利要求1所述的一种TrueCrypt加密软件口令恢复方法，其特征在于，步骤三中采用概率上下文无关口令生成模型或马尔科夫口令生成模型生成定向智能口令字典。