데이터를 보호하기 위해 할 수있는 것 중 하나는 암호화를 사용하는 것입니다. 개별 파일을 암호화하거나 컨테이너를 만들어 파일을 이동하거나 파티션 또는 디스크를 암호화 할 수 있습니다. 암호화의 주요 이점은 데이터에 액세스하기 위해 일반적으로 암호 인 키가 필요하다는 것입니다. 암호화의 기본 형태는 zip 파일을 암호로 보호하는 경우 고급 암호화는 운영 체제 파티션을 포함한 전체 시스템을 무단 사용자로부터 보호 할 수 있습니다.
타사에서 암호를 추측하거나 무차별 적으로 강제로 설정하지 못하도록 설정 중에 보안 암호를 선택하는 것이 중요하지만 데이터에 액세스 할 수있는 다른 방법이있을 수 있습니다.
Elcomsoft는 포렌식 디스크 암호 해독기 도구를 출시했습니다. 회사는 PGP, Bitlocker 및 TrueCrypt 디스크 및 컨테이너에 저장된 정보를 해독 할 수 있다고 말합니다. 프로그램이 사용하는 방법 중 하나를 사용하려면 시스템에 대한 로컬 액세스가 필요합니다. 암호화 키는 다음 세 가지 방법으로 얻을 수 있습니다.
- 최대 절전 모드 파일을 분석하여
- 메모리 덤프 파일을 분석하여
- FireWire 공격을 수행함으로써
컨테이너 또는 디스크가 사용자에 의해 마운트 된 경우에만 최대 절전 모드 파일 또는 메모리 덤프에서 암호화 키를 추출 할 수 있습니다. 메모리 덤프 파일 또는 최대 절전 모드 파일이 있으면 언제든지 키 검색을 쉽게 시작할 수 있습니다. 프로세스에서 올바른 파티션 또는 암호화 된 컨테이너를 선택해야합니다.
최대 절전 모드 파일에 액세스 할 수 없으면 Windows Memory Toolkit을 사용하여 메모리 덤프를 쉽게 작성할 수 있습니다. 무료 커뮤니티 에디션을 다운로드하고 다음 명령을 실행하십시오.
- 관리자 권한 명령 프롬프트를 엽니 다. Windows 키를 탭하고 cmd를 입력하고 결과를 마우스 오른쪽 단추로 클릭 한 다음 관리자 권한으로 실행하도록 선택하십시오.
- 메모리 덤프 도구를 추출한 디렉토리로 이동하십시오.
- win64dd / m 0 / r /fx:\dump\mem.bin 명령을 실행하십시오.
- OS가 32 비트 인 경우 win64dd를 win32dd로 바꾸십시오. 마지막에 경로를 변경해야 할 수도 있습니다. 파일은 컴퓨터에 설치된 메모리 크기만큼 커집니다.
나중에 법의학 도구를 실행하고 키 추출 옵션을 선택하십시오. 작성된 메모리 덤프 파일을 가리키고 처리 될 때까지 기다리십시오. 나중에 프로그램에서 키가 표시되는 것을 볼 수 있습니다.
평결
메모리 덤프 또는 최대 절전 모드 파일을 사용할 수 있으면 Elcomsoft의 법의학 디스크 암호 해독기가 잘 작동합니다. 모든 공격 양식에는 시스템에 대한 로컬 액세스 권한이 필요합니다. 마스터 키를 잊어 버려 필사적으로 데이터에 액세스해야하는 경우 유용한 도구가 될 수 있습니다. 꽤 비싸지 만 € 299 비용이지만 최대 절전 모드를 사용 중이거나 컨테이너 또는 디스크가 시스템에 마운트되어있는 동안 만든 메모리 덤프 파일이있는 경우 키를 검색하는 것이 가장 좋습니다. 구매하기 전에 평가판을 실행하여 키를 감지 할 수 있는지 확인하십시오.
이러한 종류의 공격으로부터 시스템을 보호하기 위해 최대 절전 모드 파일 생성을 비활성화 할 수 있습니다. 아무도 메모리 덤프 파일을 만들거나 Firewire 공격을 사용하여 시스템을 공격 할 수 없도록해야하지만 PC가 부팅되지 않을 때 아무도 정보를 추출 할 수 없습니다.
