10.3969/j.issn.1671-1122.2013.08.019
EFS离线解密方法及其取证应用
微软从Windows 2000开始引入加密文件系统(EFS)。EFS是集成在NTFS文件系统中的一个组件,允许用户对NTFS分区上的文件进行加解密。针对目前大部分的取证软件无法实现对EFS加密文件快速取证等问题,文章首先讨论了EFS的加密原理,接着提出了EFS的离线解密方法,并在此基础上设计了EFS取证工具(FET)。EFT摆脱了对目标数据源上操作系统的依赖,能够同时对目标数据源上多个不同用户的EFS加密文件进行快速检索和批量取证。实践表明,EFT能够极大提高办案人员的取证效率。
加密文件系统、加密、取证
TP309(计算技术、计算机技术)
2013-09-23(万方平台首次上网日期,不代表论文的发表时间)
共4页
67-70
