信息网络安全 ›› 2014, Vol. 14 ›› Issue (9): 211-213.doi: 10.3969/j.issn.1671-1122.2014.09.049

• 入选论文 • 上一篇    下一篇

FileVault2加密分区离线解密技术及其取证应用

蓝朝祥, 沈长达, 钱镜洁   

  1. 厦门市美亚柏科信息股份有限公司,福建厦门 361008
  • 收稿日期:2014-08-06 出版日期:2014-09-01
  • 作者简介:蓝朝祥(1987-),男,福建,工程师,本科,主要研究方向:文件系统解析;沈长达(1989-),男,福建,工程师,本科,主要研究方向:文件系统解析及数据恢复;钱镜洁(1984-),女,江苏,工程师,硕士,主要研究方向:数据存储和恢复。

The Method of Decrypting FileVault2 Offline and Applications in Forensics

LAN Chao-xiang, SHEN Chang-da, QIAN Jing-jie   

  1. Xiamen Meiya Pico Information Co.,Ltd., Xiamen Fujian 361008, China
  • Received:2014-08-06 Online:2014-09-01

摘要: 苹果公司推出OS X 10.3(Panther)系统时,引入了FileVault磁盘加密功能。在最新发布的OS X Lion 系统中,引入了全新加密方式FileVault2。FileVault2使用全磁盘、AES-XTS 128加密来帮助保护数据安全。针对当前大部分的取证软件都不支持对经过FileVault2加密的磁盘进行数据解析问题,文章首先讨论了FileVault2的加密原理,接着提出了离线解密的方法,并在此基础上设计了FileVault2取证工具,使得加密磁盘摆脱了目标数据源对Mac OS系统的依赖,能够在没有Mac OS系统的环境下对经过FileVault2加密的磁盘进行取证。实践表明此离线解密方法丰富了加密数据的取证项。

关键词: 加密磁盘, 加密, 解密

Abstract: Apple launched OS X 10.3 (Panther) system, the introduction of a FileVault disk encryption feature. In the latest release of OS X Lion system, the introduction of a new encryption FileVault2. FileVault2 uses full disk, AES-XTS 128 encryption to help keep data secure. Given that most of forensic soft can’t achieve forensics quickly on FileVault2 encrypting disk. This paper first discusser encrypting principles of the FileVault2, then puts the FileVault2 decryption method offline. And on this basis, designs the decrypting FileVault2 tools, which works independent of the operating system on the target data source and able to in the absence of Mac OS system environment through FileVault2 encrypted disk forensics. Practice shows that offline decryption method enriches the evidence items.

Key words: encrypting disk, encrypt, decrypt