[发明专利]一种Access加密数据库检测方法、终端设备及存储介质

说明书

本发明涉及一种Access加密数据库检测方法、终端设备及存储介质，该方法中包括：读取Access加密数据库文件，并对Access加密数据库文件的文件签名进行校验，当校验通过时，从Access加密数据库文件中提取数据库的引擎版本，并根据引擎版本的不同类别分别通过不同的方式判断数据库是否加密。本发明根据Access加密数据库文件特征、Access版本间加密算法差异进行检测，具有无组件依赖、检测速度快、准确率高的特点。

技术领域

本发明涉及数据库检测领域，尤其涉及一种Access加密数据库检测方法、终端设备及存储介质。

背景技术

Microsoft Office Access(简称Access)是微软发布的结合了Microsoft JET数据库引擎、图形用户界面和软件开发组件(ODBC、DAO、ADO等)的关系型数据库管理系统，是Microsoft Office重要的系统程序之一。Access拥有强大的数据存储、处理、统计分析的能力，以Microsoft JET数据库和Microsoft SQ LServer数据库为主要开发对象，利用完备的数据库开发组件，能够便捷高效地开发业务系统软件，极大减少用户和开发人员的学习成本。因此Access被广泛应用于中小型企业的生产管理、销售管理、库存管理等企业管理系统。在一些中小型网站和Web应用系统上，Access作为存储数据的数据库，具有相当可观的市场占有率。

Access主要有3个重大版本差异：以Microsoft JET3为数据库引擎的Acce ss97，以Microsoft JET4为数据库引擎的Access2000～2003，以及Access2007及其后续版本。Access97和Access2000～2003主要以mdb为文件后缀名，密钥经过简单加密算法加密并存储在文件中，易恢复还原，安全性较低；Access2007及其后续版本主要以accdb为文件后缀名，改进了密钥产生方式，调整了对文件数据的加密算法(主要采用RC4算法)，解决了数据安全性低的问题。

Access易学易用，广泛存在于中小型企业的Web应用系统。在取证分析领域，网络攻击等新型事件的数量比例正日益升高，新型事件往往涉及海量原始文件，研究识别Access加密数据库对提升取证效率具有积极影响。在加密文件检测分类方向上，对Access加密数据库的检测主要是通过微软提供的ODBC、DAO等开发接口进行试探性访问，并根据返回错误码判断加密状态。这种检测方式存在严重依赖组件API、容易漏判误判、检测速度慢等问题。

发明内容

为了解决上述问题，本发明提出了一种Access加密数据库检测方法、终端设备及存储介质。

具体方案如下：

一种Access加密数据库检测方法，包括：读取Access加密数据库文件，并对Access加密数据库文件的文件签名进行校验，当校验通过时，从Access加密数据库文件中提取数据库的引擎版本，并根据引擎版本的不同类别分别通过不同的方式判断数据库是否加密。

进一步的，当引擎版本的类别为JET版本时，判断数据库是否加密的方法为：从Access加密数据库文件偏移0x42位置处读取密码密文，并将密码密文恢复为密码明文，如果密码明文为空值，则判定数据库未加密；否则判定数据库加密。

进一步的，当引擎版本的类别为JET版本下的JET3版本时，将密码密文恢复为密码明文的方法为：将密码密文数组直接与未加密时的特征数组进行异或运算。

进一步的，当引擎版本的类别为JET版本下的JET4版本时，将密码密文恢复为密码明文的方法为：首先从Access加密数据库文件偏移0x66位置处提取short值，并将short值与原始固定的Magic值进行异或运算，得到新Magic值；然后将密码密文数组直接与未加密时的特征数组依次进行异或运算，检查每个异或运算的结果，当结果大于255时与新Magic值进行异或运算。