信息网络安全
信息網絡安全
신식망락안전
NETINFO SECURITY
2013年
8期
67-70
,共4页
加密文件系统%加密%取证
加密文件繫統%加密%取證
가밀문건계통%가밀%취증
encrypting ifle system%encrypt%forensics
微软从Windows 2000开始引入加密文件系统(EFS)。EFS是集成在NTFS文件系统中的一个组件,允许用户对NTFS分区上的文件进行加解密。针对目前大部分的取证软件无法实现对EFS加密文件快速取证等问题,文章首先讨论了EFS的加密原理,接着提出了EFS的离线解密方法,并在此基础上设计了EFS取证工具(FET)。EFT摆脱了对目标数据源上操作系统的依赖,能够同时对目标数据源上多个不同用户的EFS加密文件进行快速检索和批量取证。实践表明,EFT能够极大提高办案人员的取证效率。
微軟從Windows 2000開始引入加密文件繫統(EFS)。EFS是集成在NTFS文件繫統中的一箇組件,允許用戶對NTFS分區上的文件進行加解密。針對目前大部分的取證軟件無法實現對EFS加密文件快速取證等問題,文章首先討論瞭EFS的加密原理,接著提齣瞭EFS的離線解密方法,併在此基礎上設計瞭EFS取證工具(FET)。EFT襬脫瞭對目標數據源上操作繫統的依賴,能夠同時對目標數據源上多箇不同用戶的EFS加密文件進行快速檢索和批量取證。實踐錶明,EFT能夠極大提高辦案人員的取證效率。
미연종Windows 2000개시인입가밀문건계통(EFS)。EFS시집성재NTFS문건계통중적일개조건,윤허용호대NTFS분구상적문건진행가해밀。침대목전대부분적취증연건무법실현대EFS가밀문건쾌속취증등문제,문장수선토론료EFS적가밀원리,접착제출료EFS적리선해밀방법,병재차기출상설계료EFS취증공구(FET)。EFT파탈료대목표수거원상조작계통적의뢰,능구동시대목표수거원상다개불동용호적EFS가밀문건진행쾌속검색화비량취증。실천표명,EFT능구겁대제고판안인원적취증효솔。
Microsoft Windows 2000 introduced the encrypting file system (EFS) , which is a component of the NTFS ifle system, and allows the user to encrypt and decrypt ifles on the NTFS partition. Given that most of the forensic softwares can not achieve forensics quickly on EFS encrypted files, this paper first discusses encryption principles of the EFS, then puts forwards the EFS decryption method offline, and on this basis, designs the EFS forensics tool (EFT), which works independent of the operating system on the target data source and makes quick retrieval and batch forensics possible on a number of different users’ EFS encrypted ifles on the target data source at the same time. Practice shows that EFT can greatly improve the efifciency of forensics investigators.
