Truecrypt隐形操作系统终极方案

一、适用场合
记得有个倒霉蛋在车站莫名其妙被警察叔叔请去检查笔记本电脑的那个新闻吗？如果当事人会用truecrypt加密软件（以下简称TC），并会应用此方案，就不会发生那样的悲剧了。这个方案可以防止别人强行索要密码打开电脑，也可防止窃贼得到你的电脑后查看到你的硬盘里的东西。
以下操作是在windows XP中用TC7.1a测试成功的。并假设电脑开始只安装了单一操作系统。其他操作环境可类推，本人没测试过。


二、方案部署


第一步：按TC操作步骤创建隐形操作系统和迷惑操作系统。其中，隐藏系统所在分区的外层以密码与迷惑系统密码一致。这样做是为了能够让该分区随迷惑系统加载，让进入迷惑系统的人看不出分区有什么异样。 隐形系统的安装方法，参见 http://tieba.baidu.com/p/2516076894。


第二步：进入迷惑操作系统，把除了一二分区以外的其他分区统统做成双层加密，外层密码都与迷惑系统一致，内层密码都与隐藏系统一致。 


第三步：进入迷惑系统，打开“计算机管理”－“磁盘管理”，删除第二分区以后所有原始分区的盘符。然后加载包括第二分区在内所有分区的外层卷，加载时把盘符依次设置成原始分区盘符（如加载第二分区外层卷就设置为D盘，第三分区外层卷设置为E盘……）。接下来把这些外层卷全部添加到“系统收藏加密卷”，并设置“在windows启动时加载系统收藏加密卷”。 这样当别人进入迷惑系统的时候，仍然看到C盘、D盘、E盘……其实已经不再是原始分区，而是原始分区的外层加密卷，只是把原始分区的盘符“帽子”拿过来戴而已。


第四步：进入隐藏系统，在此模式下看不到真正的第一分区，第二分区内层卷也已经加载并虚拟成C盘。此时加载第三分区以后的所有分区的内层卷， 并设置“在windows启动时加载系统收藏加密卷”。


通过以上步骤，已经实现“进入隐藏系统可读写隐藏分区，进入迷惑系统可读写常规分区”的效果。下面的步骤是为了进一步优化。 


第五步：进入迷惑系统手工删除TC安装的文件夹（一定要手工删除，因为在系统加密状态下不能正常卸载TC），然后从“控制面板”－“添加删除程序”那里清除TC安装记录。删除开始菜单和桌面上的TC快捷方式，清空回收站。这样别人进入迷惑系统看不到任何TC安装过的痕迹，也就不会怀疑身处迷惑系统之中（但不排除高手会在注册表中发现蛛丝马迹的可能）。实验证明手工删除TC并不影响系统的启动和分区加载。需要解密的时候可再重装TC。 


第六步：在启动管理器屏幕选项中选择“在启动验证屏幕不显示任何文本”，如有需要，填写自定义信息，增强迷惑效果。


三、预期效果


平时自己使用隐藏系统，按照TC的设计，在隐藏系统中虽然可以加载常规加密卷，但只能读取不能写入，这样设计的目的是防止隐藏系统数据或操作痕迹外泄。所以在隐藏系统中要自动加载隐藏加密卷，这样读写内层加密卷并不受什么限制，与平时用电脑没什么两样。当未授权用户试图打开你的电脑（如笔记本电脑被盗）时，系统会停留在启动验证屏幕上，除非输入密码，否则没有任何响应（就象死机一样）。如果把硬盘拆下挂到其他电脑，则看到的是个未格式化的硬盘。有强行命令你想办法打开的情况下，就输入迷惑系统密码。让他进入迷惑系统，一无所获而又无话可说。


四、风险防范


第一种风险：隐藏加密卷被破坏。进入迷惑系统进行写操作时，如果文件占的空间大到一定程度，会破坏内层隐藏卷，本来TC中加载外层加密卷时有个选项可以保护隐藏加密卷，为了不让他人看出电脑中有TC，上面第五步已经手工删除TC，所以也就不能在后台保护隐藏加密卷了。所以，防范风险的办法是：平时一定不要使用迷惑系统，迷惑系统只是在紧急状态下用来迷惑他人的。迷惑系统和外层加密卷只占很小的空间（迷惑系统占一个分区，外层加密卷占每个分区大小的的5%-10%甚至更小），用来存放少量无关紧要的和谐文件。隐藏系统才是正常使用的。


第二种风险：重装系统的麻烦。无论是隐藏系统或迷惑系统，如果在该系统中装有一键恢复软件（如一键ghost之类），在系统出故障需要重装的时候，理论上（本人没测试过）只要能进入windows XP的启动菜单，所有分区都加载，则可以象平时备份和恢复系统一样操作。但如果该系统破坏严重，无法进入windows启动菜单，或者该系统中没有安装任何系统恢复软件，就只有借助光盘、U盘启动方式，但在这种启动方式下，硬盘是未格式化状态，没法把系统写入加密分区。唯一的办法，是格式化前两个分区，重新对前两个分区进行常规系统和隐形系统安装。