教如何做一套硬盘加密的方案___不断更新中

yurrr7

对于工控场景或游戏方案

1、系统启动直接启动自己的程序或游戏

2、无桌面

3、禁用所有的键盘组合键

4、留或不留一个维护通道，如按一组奇怪的组合键【调出认证】，认证通过后才让操作系统资源

PS：就算这样做，对于懂计算机的人来说，也是可以把硬盘反挂为从盘，或通过PE来读到系统的注册表。从而可以改注册表的值，这样系统还是可以通过这样的方式来进入到桌面这一级

PS：如何有效的去防止，我们就要用到硬盘加密，这样可以在PE级或加从盘级，禁止访问硬盘上的数据

yurrr7

最终的效果就是这样，在PE下用分区工具打开，可以看到

##################################################

C盘是NTFS格式，但它是【未格式化】状态，所以不可以读

D盘在这个环境下，是不可读的

其实正常是：C是系统加游戏

                      D盘是存放数据与配置还有临时文件

yurrr7

lhc0688 发表于 2022-3-25 09:39
Bitlocker好像支持系统分区加密，现在很多品牌机BIOS里设置了对硬盘加解密；

如果仅是想加密数据盘，那V ...

正解，但对于做为产品来说，是希望不要每次启动输入密码，最好即加密，又要免输入，这个状态才是最好的

yurrr7

gailium 发表于 2022-3-25 09:43
用dg的丢失文件扫描功能也不行吗

对，不可认

yurrr7

2012huguoliang 发表于 2022-3-25 10:34
搞个DEMO出来玩玩吗

可以

yurrr7

窄口牛 发表于 2022-3-25 11:15
bios加密，机器防打开报警，还原软件即可。

这个还是解决不了别人把硬盘拿出来

yurrr7

稍等，我会不定时更新，这个功能会做得非常强大

yurrr7

我们先要准备环境，打开编译环境。正常来说我们不编译的版本也是可以用，也就是7楼说的demo，方便加我【手机与wx同号:13627119150】或留下邮箱，我可以分享原生+加密的视频方法。

yurrr7

首先我们要在编译环境中把我们要用的密码放到参数中。经常一段漫长的等待。就可以编译出我们想要的一个版本，这个版本出来的好处有二点
1、加完后启动系统无感知，也就是感受不到硬盘已有加密
2、无任何提示信息，也就是没编译的情况下启动时会提示信息，我晚一点准备一台设备做演示

yurrr7

这个就会给一组我们想要的密码，尽可能的组合，可控制在20位内
然后经过漫长的过程，就可以编译出来我们想的密码版本

yurrr7

邪恶海盗 发表于 2022-3-25 16:24
过段时间自己忘记了密码...

您不用记，它已在软件中。后面我再来展示做出来的效果。

yurrr7

gailium 发表于 2022-3-25 17:26
免输入就有被破解的风险

理论来说是的，会有这个风险，但这个破解还没有报出来过，或说只要有加密的过程就会有破解的可能性，只是看这个代价

yurrr7

窄口牛 发表于 2022-3-25 17:45
硬盘拿出来，什么加密都白搭，目前只有微软的btl可以。

硬盘拿出来，是见不到任何数据的

yurrr7

窄口牛 发表于 2022-3-26 09:31
硬盘不能吧，那样太危险了。光盘有可能。

可以的

yurrr7

gailium 发表于 2022-3-25 18:07
每次启动要输密码的不好破，不需要输的开发加密软件的肯定可以

其实是一样的原理，只是做了一个自动送密码的动作，这个也是被加密了。不是明文

yurrr7

在linux下，麒麟的硬盘加密也是基于这个逻辑

yurrr7

gailium 发表于 2022-3-26 12:39
我就是说这个过程软件开发者肯定能破

它是一个编译过程，如果这样理解，做bitlocker的技术者，也可以破bitlocker.这个就是成本的问题，就像新闻中说破苹果的密码一样。只人有锁的地方就会有钥匙，这个是另一个方向。只是说在现有的方案下【无TPM情况下】这个方案理想之一

yurrr7

htmlc4 发表于 2022-3-26 17:24
如果硬件支持TPM的话，不需要每次输入密码

这个要硬件支持，在很多做产品的上的主板，是没有TPM芯片的。有空我再开一个贴，就是用我们民用的主板把隐藏的这个功能刷bios。把tpm刷出来。如果放电，这个tpm又会隐藏

使用场景：
1、设备主板中有bios选择，这样系统中就可以用bitlocker来加密
2、进入bios时需要输入进入密码
3、强制清cmos后，这个tpm的功能失效
4、系统就会进入到一个蓝屏界面【需要输入bitlockr的密码界面】
因为清了cmos，那bit的密钥永久消失。可以实现如【游戏设备】方案的加密

yurrr7

gailium 发表于 2022-3-27 09:28
bitlocker要每次输密码除非有tpm

对，有硬件TPM芯片支持是最安全的，但也有听别人说过可以通过一些机制来获取这个芯片的密钥，我没有见过，但从技术上来说有可能，只有锁就一定有钥匙
1、其实用bitlocker还有几种方式
a:用usb做存储密钥的载体【意义不大，很容量被读到，但技术上可以实现】
b:用硬盘本身的引导区【如分100M的引导区】把密钥放进去也可以，这样的效果就是C，D盘可加密。但这100M是透明的。所以与上面的usb或u盘雷同
c：就是单独的tpm芯片。这个应该是最安全的方式。

yurrr7

今天把原生的安装并且对全盘做了加密，原生的会有二个问题
1、启动会显示信息，如要输入密码的，还有用什么机制做的
2、每次启动必须要输入，要不会停在这个界面

yurrr7

只用加密C盘或系统盘，那在PE中或从盘中，这个分区的数据就是不可以读的。就算是分区工具中也不可以，其实与bitlocker一样，只是它没有那个锁的盘符标记，而bitlocker是需要tpm来支持，很多主板没有这个芯片，又想来加密，这样的方案就是一个比较好的选择

yurrr7

gailium 发表于 2022-3-27 10:46
对呀就是看存储的地方安全不安全

安不安全需要去着暴力破解，我之前试过，用暴力破解工具来验证，显示的时候是2000年，虽然我当时给的密码只是：1

yurrr7

htmlc4 发表于 2022-3-26 17:24
如果硬件支持TPM的话，不需要每次输入密码

有硬件支持，这些都不是问题。就是没有芯片才考虑的方案

yurrr7

xintiandi 发表于 2023-2-8 21:46
windows下怎么实现的

这个逻辑就是把要输入时的动作做了一次“自动送入”的动作，所以整个过程无感知

yurrr7

36287173 发表于 2022-11-4 20:59
我测试了老的游戏街机设备没有用加密狗捆绑硬盘引导，truecrypt全盘加密的硬盘发现可以通过hex工具复制整个 ...

前提要先让系统做加固，如无桌面运行程序，禁用组合键，这样系统层就会锁死，而就会通过PE或挂从盘来读数据，这个加密意义就在这儿。它可以没有任何通道让有机会读到数据。hex后一样

yurrr7

minchengan 发表于 2022-11-2 17:42
密钥用机器的硬件信息（比如硬盘序列号，主板序列号、网卡MAC等）来计算生成一个密钥 ，然后用一个不固定算 ...

是的，“锁”是有多种形态，就看要用哪种比较好

yurrr7

minchengan 发表于 2022-11-2 17:32
这个需求以前我曾经有，也看到过有公司在使用这个技术，并且机器不能接键盘鼠标，一接上，机器个别芯片就自 ...

理论来说任何锁都会有钥匙，只是看打开它的代价。据我了解，这个还没有相关报道，就算破解，应该也只可以对C盘打开，而D或E盘的数据，相当于进入了黑洞。所以安全性来说，还是非常好的。主要是方便