从加密虚拟磁盘提取数据的技巧与工具

关键要点

本文介绍了从加密虚拟磁盘提取数据的各种技术和现成工具。在事件响应情况下，如果整个虚拟磁盘被加密，这些工具和技术可能可能使调查团队能够从加密系统中检索数据。

从加密虚拟磁盘提取数据的努力可能会带来多重积极成果：恢复通常无法通过标准方法获取的客户数据，帮助重建受到威胁的虚拟基础设施，以及丰富事件调查的时间线。到目前为止，我们已经在涉及LockBit、Faust / Phobos、Rhysida和Akira等勒索软件组织的数字取证与事件响应DFIR调查中成功应用了这些技术。

重要提示：任何恢复尝试都应在“工作副本”上进行，而不是原始文件，以避免对设备造成进一步的损坏。

白鲸加速器解压密码

接下来，我们将讨论在什么情况下可能可以进行数据恢复以及其可能的程度。之后，我们将列出在选择尝试哪些方法时需要考虑的一些因素。最后，我们将逐一查看每种方法，列出先决条件尝试该方法所需的工具，所有这些都是必需的并标明其他注意事项。在讨论最耗时的方法时，我们将详细说明处理过程。

在本文中，“虚拟磁盘”、“VM”或“磁盘镜像”均指同一事物，可以是任何类型的磁盘镜像，如VHD、VHDX、VMDK、RAW等。这六种技术适用于Windows；其中一些也可以在Linux上工作，我们将在每种情况下对此作出说明。

什么是文件/磁盘加密？

当勒索软件加密虚拟磁盘或任何文件时，数据基本上被随机化，使得操作系统无法读取该文件。解密文件将文件返回到其原始可读状态最知名的方法是通过解密工具，它是一种旨在逆转加密过程的软件工具或程序。

在勒索软件攻击中，解密工具是由威胁行为者创建和控制的。在这种情况下，除非赎金被支付或解密工具公开可用，否则必须考虑其他数据恢复方法。

勒索软件二进制程序优先考虑速度，而非彻底加密。加密整个文件会耗费过多时间，因此攻击者希望迅速造成最大损害，最小化干预的时间窗口。因此，虽然较小的文件如文档通常会完全加密，但较大的文件如虚拟磁盘往往有很大一部分保持未加密，这为调查人员提供了利用多种技术从这些虚拟磁盘中提取信息的机会。

选择哪种方法：考虑因素

在寻找从加密Windows虚拟机提取数据的方法时，有多种方法可供选择。其中一些技术也适用于Linux恢复尝试，我们会标明。在本文中，我们将涵盖六种方法：

方法1：挂载驱动器方法2：RecuperaBit方法3：bulkextractor方法4：EVTXparser方法5：Scalpel、Foremost及其他文件恢复工具方法6：NTFS分区的手动雕刻

首先尝试哪种方法呢？以下六个考虑因素或许能帮助您决定采用哪种方法。

文件大小经验表明，虚拟磁盘的大小越大，成功恢复的机会越高。对于Windows机器而言，这主要是因为大多数虚拟机具有多个分区，通常是三个恢复、启动和C用户可见分区。为了方便起见，假设驱动器映射到常规的C。前两个分区对于事件调查所提供的数据不多，但由于加密通常会加密虚拟机的前几个字节，因此最终只有这两个分区会加密。

因此，通常情况下，C分区存放客户数据和潜在取证数据的地方将保持未加密状态，这有助于调查人员重建被攻击的虚拟设备并丰富事件调查。

相反，如果虚拟机文件相对较小，恢复数据的可能性就会降低。然而，仍然可能有机会收集事件日志或注册表信息。

工具与事件响应中的其他问题一样，针对同一问题存在多种方法和工具。某些工具可能会更适合某些类型的加密，因此如果您的首个