主要内容:
1.什么是冷系统分析(Cold System Analysis)?
“冷系统分析”指的是从便携式USB驱动器启动计算机,并试图进入系统和/或从计算机中提取证据。
通过从已知良好的便携式介质启动用户计算机,就可以接着使用熟悉的取证工具,安全地访问需要调查的系统。如果谨慎使用,可以带来比磁盘镜像分析更多的好处,且没有与实时系统分析相关的大部分风险。然而调查员的错误操作也可能造成不可挽回的事故。常见错误之一就是忘记重置用户的Windows帐户密码,这会立即永久锁定访问EFS加密文件的能力,以及存储在谷歌Chrome浏览器或微软Edge等网络浏览器中的任何密码。所以,冷系统分析获得的结果在取证上的正确性,取决于使用的工具和技术。
2. 冷系统分析步骤
可以利用Elcomsoft系统恢复(ESR, Elcomsoft System Recovery),它与大多数基于Linux的工具不同,ESR基于熟悉的Windows环境。运行ESR安装程序,准备好可启动的USB盘后,就可以根据系统分区是否加密执行各种任务了。有两种模式可供选择:对取证无害的、禁止写入的“只读“模式;以及可以通过重置密码、分配管理权限等方式修改用户账户的模式。
2.1 移除BitLocker保护
如果系统分区是用BitLocker加密的,那么在解锁卷之前能做的事情很少。这种情况下,可以启动ESR,捕获卷的加密元数据,然后将数据带到实验室,并尝试通过运行Elcomsoft分布式密码恢复(Elcomsoft Distributed Password Recovery,EDPR)。根据特定BitLocker卷上使用的保护器配置(主要取决于系统是否有TPM模块),可能无法解锁该卷。如果有系统卷的密码或BitLocker恢复密钥,ESR可以使用Windows PE的内置BitLocker功能解锁并加载卷。完成后就可以继续分析磁盘了,这比传统的镜像和解密工作流程节省了大量时间。
一旦启动ESR,该工具就会检测现有Windows账户中的常用密码。如果发现密码,就会显示出来以便进一步分析。
2.2 破解Windows账户密码
如果密码未知怎么办?就需要运行攻击来恢复原始密码。为此需要提取加密元数据(哈希值),并在EDPR中使用该数据发起攻击进行解密。
2.3 解锁磁盘加密
如果计算机没有关闭,而是处于混合睡眠或休眠状态,则可能会找到磁盘加密工具(如BitLocker、TrueCrypt、VeraCrypt或PGP)的即时加密密钥(OTFE密钥)。这些密钥可能存在于休眠文件或页面文件中。在冷系统分析期间,可以提取这些文件并将其保存在外部介质上,以便使用Elcomsoft取证磁盘解密器(EFDD, Elcomsoft Forensic Disk Decryptor)进行进一步分析。
2.4 搜索加密虚拟机
可以在ESR中查找加密虚拟机,这是一个自动过程。一旦该工具找到加密虚拟机,它就会自动保存加密元数据,你可以用EDPR来破解原始密码。
2.5 创建取证磁盘镜像
在冷系统分析阶段能做的只有这么多,而制作磁盘镜像是加速调查的最后一条捷径。传统上,专家们会拆卸计算机,取出磁盘,使用专门的写入阻断磁盘成像设备制作图像。ESR提供了一条捷径,无需取出硬盘即可制作取证磁盘镜像。
3. 冷系统分析的速成方法
冷系统分析还可以紧急解锁前员工的Windows账户、重新分配管理权限或通过删除恶意或意外设置的Syskey保护来恢复计算机的功能。
3.1解锁Windows账户
ESR使这一操作变得非常简单;只需点击几下鼠标,就能更改任何Windows用户的密码。但请注意,这在取证方面还远远不够:如果重置用户密码,使用Windows DPAPI加密的任何数据(如加密文件系统、存储的密码等)都将永久丢失。这在很多情况下还是可以接受的。
3.2分配管理权限
如果管理密码丢失或未知,可能需要为某个Windows 帐户分配管理权限,以恢复对系统的完全访问。只需点击几下,ESR即可实现这一功能。该功能还适用于使用重置密码的账户。
3.2 删除Syskey 保护
Windows Syskey保护功能并不提供任何真正的安全性,但如果知道这项功能的人不小心或恶意设置了Syskey密码,就有可能成为一大麻烦。
大约22年前,微软尝试通过添加额外的保护层来提高Windows的安全性。SAM锁定工具通常被称为SYSKEY(其可执行文件的名称),用于加密Windows安全帐户管理器(SAM)数据库的内容。加密使用的是128位RC4加密密钥。
用户可以选择指定一个密码,以保护存储在SAM数据库中的Windows账户的身份验证凭证。如果设置了SYSKEY密码,Windows将在启动时要求输入该密码,然后才会显示登录和密码提示。
虽然SYSKEY没有使用最强加密,但如果不首先解密SAM数据库,就无法攻击(暴力破解或重置)用户的Windows登录名和密码。因此,SYSKEY密码要求攻击者在访问系统的Windows账户之前,对SYSKEY保护进行暴力破解或重置。更重要的是,未知的SYSKEY密码会阻止用户系统完全启动。这一事实被勒索软件广泛利用,并经常被“技术支持“骗子滥用,他们通过虚假的“技术支持“电话将受害者锁定在自己的电脑之外。
由于SAM数据库加密,除非用户可以访问最近的备份或系统还原点,否则重新安装或修复Windows无法解决问题。因此微软在Windows 10(1709版)和Windows Server 2016(1709 版)中取消了设置SYSKEY密码的功能,引导用户使用更安全的BitLocker加密。不过,旧版系统仍然容易受到SYSKEY勒索软件的攻击。
按照高科技标准,SYSKEY保护已相当陈旧,不再安全(本来就不安全)。SYSKEY勒索软件或“技术支持“骗子的受害者现在可以通过恢复或重置SYSKEY密码来恢复系统。ESR能够发现或重置SYSKEY密码,从而恢复系统的正常启动操作。
4. 删除SYSKEY密码
一旦激活SYSTEM密码,整个SAM注册表就会被加密。这样就很难将Win dows恢复到工作状态,尤其是当骗子还删除了所有系统还原点时。这种骗局的受害者在尝试启动电脑时会看到以下信息:“这台计算机被设置为需要密码才能启动“。
ESR可以尝试自动重置SYSKEY保护。直接删除SYSKEY密码可能会破坏Windows启动过程。因此ESR会执行一系列安全检查,以确定重置特定系统的SYSKEY密码是否会导致问题。要删除未知的SYSKEY密码,请执行以下操作。
(1)使用ESR将计算机引导至可引导存储介质。根据计算机主板制造商的不同,可能需要按Del、F8、F11、F12或其他键来调用特殊菜单,以暂时覆盖启动顺序或进入UEFI/BIOS设置。
(2)在ESR中,指定安装Windows的磁盘或分区,然后单击下一步。
(3)移除SYSKEY密码的功能位于” Miscellaneous “下。
(4)选择SYSKEY。
(5)选择ESR是否应自动搜索SAM 数据库或指定其位置。
(6)该工具将执行必要的安全检查,并在发现潜在问题时发出警告。如果只想重置密码,请将“搜索… “选项留空。单击“重置 SYSKEY “完成。
(7)最后,重新启动计算机。Windows应该可以正常启动。
如果发现潜在问题,您将看到以下警告:
如果继续操作,将无法访问DPAPI加密数据(EFS加密文件和文件夹)。此外还建议备份SAM、SYSTEM和SECURITY注册表(必须手动完成)。
5. 发现SYSKEY密码
重置SYSKEY密码可能有效或无效,取决于特定系统的配置。恢复SYSKEY密码是一种更为安全的操作,不会产生简单重置密码的潜在负面影响。ESR可以自动检查计算机,查找整个系统中缓存的SYSKEY密码,分析各种注册表键值、临时文件和数据库,查找SYSKEY密码的缓存副本。如果成功,就可以立即无风险地移除SYSKEY保护。要查找SYSKEY密码,请执行以下操作:
(1)使用ESR将计算机引导至可引导存储介质。根据计算机主板制造商的不同,可能需要按Del、F8、F11、F12或其他键来调用特殊菜单,以暂时覆盖启动顺序或进入UEFI/BIOS设置。
(2)按照ESR中的第2步至第6步操作。不过,这次要确保选择了“搜索SYSKEY纯文本密码“选项。
(3)可以选择快速或彻底扫描。点击恢复SYSKEY继续。该工具将尝试查找计算机上的SYSKEY密码。
(4)记下发现的SYSKEY密码并重新启动计算机。按提示输入已发现的SYSKEY密码。
本文提及工具
(1)Elcomsoft工具包,链接:https://pan.baidu.com/s/16hbCdEWLTTVSf_ags_2hyw,提取码:g99c
(2)参考资料
[1]Forensically Sound Cold System Analysis January 8th, 2024 by Oleg Afonin Category: «Elcomsoft News», «Tips & Tricks»
[2]How to Reset or Recover Windows SYSKEY Passwords December 7th, 2018 by Oleg Afonin Category: «General»
原文始发于微信公众号(电子取证及可信应用协创中心):冷系统分析与重置或恢复Windows SYSKEY密码
