FileVault2加密分区离线解密技术及其取证应用

苹果公司推出OS X 10.3(Panther)系统时,引入了FileVault磁盘加密功能。在最新发布的OS X Lion系统中,引入了全新加密方式FileVault2。FileVault2使用全磁盘、AESXTS 128加密来帮助保护数据安全。针对当前大部分的取证软件都不支持对经过FileVault2加密的磁盘进行数据解析问题,文章首先讨论了FileVault2的加密原理,接着提出了离线解密的方法,并在此基础上设计了FileVault2取证工具,使得加密磁盘摆脱了目标数据源对Mac OS系统的依赖,能够在没有Mac OS系统的环境下对经过FileVault2加密的磁盘进行取证。实践表明此离线解密方法丰富了加密数据的取证项。

XFS文件系统的删除文件的恢复技术研究

XFS是由SGI开发的高效的64位文件系统，原在IRIX中，后移植到Linux上，是一个高性能的日志型文件系统，能够在断电以及操作系统崩溃的情况下保持系统的一致性。该文件系统有着高性能事务、高效的空间利用、卓越的10带宽传输以及可扩展性等特点，在需要同时快速处理大型文件和某些监控厂商的系统上得到了较为广泛的应用。目前，国内外对XFS文件系统删除文件的恢复的研究较少，基本没有与恢复相关的技术资料。在详细分析了该文件系统结构的基础上进行了删除数据恢复的研究，提出了一种XFS删除文件恢复方法，该方法在文件数据没有被覆盖的情况下能够完整地恢复文件。

VMware Workstation虚拟机镜像取证技术研究

云存储数据取证是电子数据取证领域的一个研究热点,虚拟机镜像文件是云存储虚拟化的一种载体。文章以VMware虚拟机镜像为研究对象,通过对镜像文件分析和比较,深入了解虚拟机镜像文件的结构组成和数据管理方式,提出一种建立数据链表、利用递归和回溯,实现读取虚拟机镜像数据的方法,解决了虚拟机镜像的读取问题,对云存储数据的提取和分析具有一定意义。

Windows下LVM被删除逻辑卷的数据恢复

为解决Linux系统中带有LVM(Logical Volume Manager)逻辑卷管理机制被误删除的逻辑卷不能恢复问题,该文提出一种在Windows下恢复被删除逻辑卷[4]的方法。该方法通过对Linux硬盘分区上相关信息和LVM存储机制特征分析获取LVM的元数据信息,在Windows系统中构建一个虚拟的逻辑卷分区,并将从元数据区获取到的存储信息地址和虚拟卷中的存储地址对应起来,从而达到恢复逻辑卷效果。