信息网络安全
信息網絡安全
신식망락안전
NETINFO SECURITY
2013年
7期
39-43
,共5页
数据保护接口%主密钥%解密%取证
數據保護接口%主密鑰%解密%取證
수거보호접구%주밀약%해밀%취증
data protect application-programming interface%master key%decryption%forensics
数据保护接口是微软从Windows 2000开始引入的一种简易程序接口,主要为应用程序和操作系统程序提供高强度的数据加密和解密服务。Windows系统用户大量的私密数据都采用了DPAPI进行加密存储,而这些私密数据在取证过程中往往扮演着十分重要的角色。针对目前大部分取证软件无法快速解密这些私密数据的问题,文章首先分析了DPAPI的加密机制,接着给出了DPAPI加密数据的离线解密方法,并在此基础上设计实现了DPAPI的解密工具,最后以实际例子演示了DDT在取证中的应用。
數據保護接口是微軟從Windows 2000開始引入的一種簡易程序接口,主要為應用程序和操作繫統程序提供高彊度的數據加密和解密服務。Windows繫統用戶大量的私密數據都採用瞭DPAPI進行加密存儲,而這些私密數據在取證過程中往往扮縯著十分重要的角色。針對目前大部分取證軟件無法快速解密這些私密數據的問題,文章首先分析瞭DPAPI的加密機製,接著給齣瞭DPAPI加密數據的離線解密方法,併在此基礎上設計實現瞭DPAPI的解密工具,最後以實際例子縯示瞭DDT在取證中的應用。
수거보호접구시미연종Windows 2000개시인입적일충간역정서접구,주요위응용정서화조작계통정서제공고강도적수거가밀화해밀복무。Windows계통용호대량적사밀수거도채용료DPAPI진행가밀존저,이저사사밀수거재취증과정중왕왕분연착십분중요적각색。침대목전대부분취증연건무법쾌속해밀저사사밀수거적문제,문장수선분석료DPAPI적가밀궤제,접착급출료DPAPI가밀수거적리선해밀방법,병재차기출상설계실현료DPAPI적해밀공구,최후이실제례자연시료DDT재취증중적응용。
Data protect application-programming interface (DPAPI) is a simple programming interface that Microsoft has introduced after Windows 2000, mainly providing high intensity data encryption and decryption services for applications and operating system programs. Most private data of system users are stored and encrypted by DPAPI and these private data often play a very important role in forensics. Confronted with the problem that most of the forensic softwares can not decrypt these private data quickly, this paper ifrstly analyzes the DPAPI encryption mechanism, then touches upon the method of decrypting DPAPI oflfine and on this basis, designs and implements DPAPI decryption tool (DDT), and finally gives practical examples to demonstrate the application of DDT in forensics.
