买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：厦门市美亚柏科信息股份有限公司

摘要：本发明涉及一种TrueCrypt解密密钥提取方法、终端设备及存储介质，该方法中，首先从内存镜像中提取所有TrueCrypt.exe进程信息，并组成进程信息集合K；之后针对K中的每个元素，依次对其CRYPTO_INFO结构中的K2字段、master_keydata字段和SectorSize字段的内容格式进行校验，剔除不符合要求的元素后，将K中剩余元素的master_keydata字段的内容作为TrueCrypt.exe进程的主密钥。本发明无需依赖加密容器的加密方式，无需知道加密容器密码，即可对加密容器的加密数据的主密钥进行提取，同时也满足对证据源解密的需求。

主权项：1.一种TrueCrypt解密密钥提取方法，其特征在于，包括以下步骤：S1：加载内存镜像，从内存镜像中提取所有TrueCrypt.exe进程信息，并组成进程信息集合K；S2：针对进程信息集合K中的每个元素，解析其VADaddress字段以读取该进程信息对应的物理内存，从物理内存内读取该进程信息对应的CRYPTO_INFO结构，对CRYPTO_INFO结构进行解析，判断其内的K2字段是否满足校验参数的格式要求，如果满足，继续对进程信息集合K中的下一个元素进行处理，如果不满足，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S3；S3：针对进程信息集合K中的每个元素，如果该元素对应的CRYPTO_INFO结构中的K2字段的内容不全为零，则计算K2字段的内容中每个字符出现的频率是否均小于第一频率阈值，如果是，继续对进程信息集合K中的下一个元素进行处理，否则，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S4；S4：针对进程信息集合K中的每个元素，提取该元素对应的CRYPTO_INFO结构中的master_keydata字段的内容，并判断master_keydata字段的内容中每个字符出现的频率是否均小于第二频率阈值，如果是，继续对进程信息集合K中的下一个元素进行处理，否则，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S5；S5：针对进程信息集合K中的每个元素，提取该元素对应的CRYPTO_INFO结构中的SectorSize字段的内容，并判断SectorSize字段的内容是否等于设定的扇区大小，如果是，继续对进程信息集合K中的下一个元素进行处理，否则，从进程信息集合K中移除该元素；当处理完进程信息集合K中的所有元素后，进入步骤S6；S6：针对进程信息集合K中的每个元素，提取该元素对应的CRYPTO_INFO结构中的master_keydata字段的内容作为TrueCrypt.exe进程的主密钥。

全文数据：

权利要求：

百度查询： 厦门市美亚柏科信息股份有限公司 一种TrueCrypt解密密钥提取方法、终端设备及存储介质