TrueCrypt加密之后的文件，目前没有好的办法破解，因此在调查取证的时候，可以考虑以下方法：

4.1 分析和检查是否有TrueCrypt加密之后的文件存在。

(a) TrueCrypt加密之后的文件没有固定的特征，如果加密者把这样的文件保存为常见格式的文件时，利用Encase、Winhex、取证大师等软件分析文件特征，对于不匹配的文件重点分析，进行排查是否为加密文件；

(b) 搜索系统所安装软件，包括历史安装记录，检查是否有安装TrueCrypt软件的

痕迹；

(c) 搜索大文件，作为加密容器，一般都存放着多个文件，因此，较大的文件可能性会比较大，不过也不排除特别重要的文件单独加密的可能。

4.2 TrueCrypt能设置双层加密，即在一个加密卷中再隐藏另一个加密卷，隐藏卷形象的来说就是“嵌套”在普通加密卷里边的。当用户被胁迫解密加密卷时，用户可以把隐藏加密卷的“外套”普通加密卷解密，透露一些无关紧要的信息，而真正的受保护的信息则隐藏在隐藏卷中，数据得以保护。加密卷的加载流程如下图所示：

对于此类情况，首先要考虑是否能得到隐藏卷的密码，如果不能，应该把数据备份之后，用无用数据填充的方式覆盖普通卷空余的空间，可以把伪装在普通卷里面的数据破坏，让加密者自己也无法再恢复这些隐藏的数据。

4.3 TrueCrypt对数据的操作都是在内存(RAM)中进行，因此软件不确定是否在计算机的内存中保存有密码、主密钥和一些未加密的数据。而最新的研究成果显示，即使计算机关机后，内存保存的资料，包括加密程序的安全锁和口令仍未消失，最长可能达数分钟之久，透过冷冻计算机记忆芯片，还可延长内存暂存资料的时间，普林斯顿大学一班计算机保安专家组成的研究小组组长-计算机科学家费尔滕解释：只要以液态氮(摄氏-196度)冷冻计算机芯片，即使电源已中断，内存仍可保持状态至少数小时。然后将芯片安装回计算机，就可读取里面的资料。

4.4 在使用者机器上安装使用间谍或者监控程序，开机自动运行，利用键盘记录钩子记录TrueCrypt加载卷的密码。此外，还可以利用政策，社会工程学方法(如通过其他途径获得其他帐号密码或者其他方面的信息来分析加密文件的密码)等方式来获取密码，并注意是否可以获取隐藏卷的密码。

5 总结

TrueCrypt是全球著名的开源加密软件，有着安全、易用、功能强大等优点，也适用于可移动存储设备的加密。随着在国内应用的推广，对使用该软件加密之后的计算机数据的取证也变得越来越困难，因此有必要对这方面加强研究，总结规律，以提高取证的效率。

详情附件：TrueCrypt加密模式及对应取证方法研究.pdf

相关讨论：

1#

九九 (你说我是禽兽，可我连禽兽都不如。) | 2013-08-31 09:07

表示从未喝过茶。

2#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-08-31 09:09

浮云，都是浮云……

3#

光的圆周率 (等级:二逼白帽子) | 2013-08-31 09:42

表示中枪 数据都是用TC加密的...

4#

无敌L.t.H (:?门安天京北爱我) | 2013-08-31 10:13

真·TrueCrypt加密之后的取证方法：严刑逼供

5#

Sunshine (此处内容为隐藏0day，点击右边感谢即可查看此0day) | 2013-08-31 10:52

@无敌L.t.H 此法适用所有。。

6#

safe121 (--黑阔娱乐群：328034840) | 2013-08-31 10:52

@无敌L.t.H USBKEY加密，目前USBKEY已经被毁灭。。。

7#

insight-labs (Root Yourself in Success) | 2013-08-31 10:56

4.2

平时多注意备份就行了，比如把加密容器传到网盘，备份到移动硬盘后异地备份等等。

4.3

防御方法：

1.打开bios中的开机内存检查功能，查水表收快递时立刻按reset按钮重启。内存会被覆盖。

2.每次mount加密卷之后用完尽快dismount，用truecrypt的dismount会清除内存里的key。

3.内存越大越好，内存越大在内存里找到key的几率越小，尤其是用冷冻法，因为内存越大把内存复制出来用的时间越长，里面的数据就越有可能被改变。

4.4

硬盘加密的密码或rar等文件加密密码一定要长于20位，越长越好，并且这个密码不能用于任何其他用途，比如email，qq，哪怕gmail也不行。并且也不能用于任何容易被破解的弱加密算法或者程序的key，比如pdf文档，office文档加密，windows密码等等。

最好的方法是全盘加密，所有分区都加密，并且重要文件再放到另一层加密容器中，没有密码连启动都启动不了，就更不要想放什么远控键盘记录之类的了。

如果水表爆了但是因为没法解密，找不到证据，电脑被还给你了，这时候即使用了全盘加密，也要怀疑是否加了硬件后门键盘记录之类，并且truecrypt全盘加密的话也会有一个没加密的加载器放在硬盘的隐藏分区里，也可能被改动记录密码或者变成MBR级的远控下载者。

这个时候就要把硬盘单独拿下来，随便找个电脑城重新配个一样配置的电脑，到外地并且找个绝对隐蔽的地方，即使被人跟踪也一时半会进不来的那种，隔绝网络离线加载加密卷，把重要文件拷到加密的移动硬盘里。旧的机器和硬盘直接卖掉，然后东山再起。

8#

无敌L.t.H (:?门安天京北爱我) | 2013-08-31 11:21

@safe121 欲加之罪，何患无辞。

9#

Ivan | 2013-08-31 11:33

昨晚刚安装……

10#

乌帽子 (儿啊，到大城市切莫乱搞女人啊，染上什么病回来传染给) | 2013-08-31 12:33

这就是科普下tc的用法啊,

如果不能，应该把数据备份之后，用无用数据填充的方式覆盖普通卷空余的空间，可以把伪装在普通卷里面的数据破坏，让加密者自己也无法再恢复这些隐藏的数据。

为什么不直接删掉呢

11#

怀念 | 2013-08-31 13:05

对于此类情况，首先要考虑是否能得到隐藏卷的密码，如果不能，应该把数据备份之后，用无用数据填充的方式覆盖普通卷空余的空间，可以把伪装在普通卷里面的数据破坏，让加密者自己也无法再恢复这些隐藏的数据。

这段是不是真的啊？填充普通加密卷会破坏隐藏加密卷？

感觉有点不可信。。。

12#

熊猫 (???????????????????) | 2013-08-31 16:04

可以砸硬盘吧…