was successfully added to your cart.
加解密

WDE 全硬碟PGP加密分析與超薄5mm 2.5 硬碟磁頭損壞資料救援

By 2017-09-05 No Comments

之前討論過 硬體式AES 硬碟加解密原理與資料恢復
這次要分享是近接到的案子軟體加密 (PGP   Whole Disk Encryption (WDE) 全磁碟加密)  與筆記型硬碟磁頭損毀
硬碟是特規 Seagate  Laptop Ultrathin HDD 目前業界最薄 2.5 5mm 硬碟 型號 ST500LT032 PDF

由左至右的硬碟高度 12 mm,9.5 mm ,7mm,5mm  (其實有15mm 厚2.5硬碟 這次忘了一起拍)

現場在客戶面前 展示用資料恢復設備 檢測出 磁頭不良.並非壞軌狀況. 最嚴重的磁頭損壞狀況

5mm 硬碟真的很特殊.OSSLab有龐大的 硬碟材料庫. 因此立刻有替換材料品
(請慎選資料恢復公司 是否有足夠材料 材料比無塵室重要10倍)

對於這種全盤加密格式硬碟.資料恢復 有2個重點
1.在硬碟上 的加密metadata絕對不能掉
2.解密鑰 用戶密碼,Recovery key(嚴格說 這是另外一種密碼表示通常用英文跟數字混在一起) 要有.

如果是 Bitlocker, Truecrypt,Filevalute 這三種全扇區加密 可以用 PC3000 Data Exracter新功能 Onfly 加密掛載 這樣就可以不需要全盤鏡像

但是對於PGP WDE 加密 目前是沒有資料恢復工具支持的.
因此需要做全盤鏡像(dd)來做資料救援.
此案例成功總共二工作天100%還原 PGP加密格式特殊硬碟. 

常用的磁碟全扇區加密格式
bitlocker, Truecrypt, Filevault, PGP. 
下面簡單分析一下Bitlocker
1.算法差不多都以AES為主

2.主密鑰Volume Master Key 或FVEK 
3.目前有有從記憶體暫存檔取得針對FVEK key程式 請參考 .但如果系統也加密時 無法使用此方法來取得Bitlocker FVEK密鑰.

加密正面好處  
隱私商業機密受到保護,根本很難被破解.嚴格說只要記憶體不被數位鑑識取得.
是不可能單純用暴力破解的

加密的負面影響
1.影響效能
2.增加資料救援難度

Thx Chang

Author Thx Chang

More posts by Thx Chang

Leave a Reply