论文部分内容阅读
针对Bit Locker加密技术对磁盘的数据保护使电子取证无法进行离线分析,使案件调查人员无法获取磁盘上的调查信息的问题,本文对Bit Locker加密技术原理进行调查研究,提出了一种可以脱离Windows操作系统独立对Bit Locker加密卷或磁盘镜像进行解密的离线解密方法以获取磁盘中存放的原始数据。本文分析了Bit Locker加密技术的原理,并从物理磁盘中存放的数据中找出相应密码的存放位置以及加密算法标志,之后通过用户密码或恢复秘钥进行解密得到相应的全卷秘钥并对磁盘进行解密。实验证明了该种方法在电子取证中的可行性。