%A 蓝朝祥, 沈长达, 钱镜洁 %T FileVault2加密分区离线解密技术及其取证应用 %0 Journal Article %D 2014 %J 信息网络安全 %R 10.3969/j.issn.1671-1122.2014.09.049 %P 211-213 %V 14 %N 9 %U {http://netinfo-security.org/CN/abstract/article_5915.shtml} %8 2014-09-01 %X 苹果公司推出OS X 10.3(Panther)系统时,引入了FileVault磁盘加密功能。在最新发布的OS X Lion 系统中,引入了全新加密方式FileVault2。FileVault2使用全磁盘、AES-XTS 128加密来帮助保护数据安全。针对当前大部分的取证软件都不支持对经过FileVault2加密的磁盘进行数据解析问题,文章首先讨论了FileVault2的加密原理,接着提出了离线解密的方法,并在此基础上设计了FileVault2取证工具,使得加密磁盘摆脱了目标数据源对Mac OS系统的依赖,能够在没有Mac OS系统的环境下对经过FileVault2加密的磁盘进行取证。实践表明此离线解密方法丰富了加密数据的取证项。