tft每日頭條

 > 教育

 > bitlocker強制加密

bitlocker強制加密

教育 更新时间:2024-12-23 13:58:53

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)1

課前提要

Bitlocker加密是Windows的一種數據保護功能,主要用于解決由于計算機設備的物理丢失導緻的數據失竊或惡意洩漏,能夠同時支持FAT和NTFS兩種格式,可以加密電腦的整個系統分區,也可以加密可移動的便攜存儲設備,如U盤和移動硬盤等。

BitLocker使用AES(高級加密标準/Advanced Encryption Standard)128位或256位的加密算法進行加密,其加密的安全可靠性得到了保證,通常情況下,隻要密碼有足夠強度,這種加密就很難被破解。因此,當取證中遇到涉案的電腦、U盤等被Bitlocker加密的情況,破解加密獲取涉案數據就變得尤為重要。

上課之前,先來公布上期的問題答案:陣列的塊大小:32扇區;循環方向:右旋;同異步方式:同步;起始扇區:0扇區

如有任何疑問,歡迎到文章下方留言。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)2

一、解密思路

BitLocker加密的過程

(1)對一個磁盤進行BitLocker加密的方法很簡單,打開資源管理器,在想要加密的磁盤分區上點擊右鍵,選擇“啟用BitLocker”即可。(在“控制面闆”-“系統和安全”-“BitLocker驅動器加密”裡也可以啟用和管理加密。)

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)3

(2)點擊“啟用BitLocker”之後,在新彈出的窗口中設置加密驅動器密碼,輸入完成後點“下一步”,然後選擇保存恢複密鑰的位置。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)4

(3)一般來說,恢複密鑰存放在USB閃存驅動器或打印出來安全系數更高,因為這樣操作的話,加密驅動器與恢複密鑰分離保管,安全性更好。不過實際情況中,有些時候為了省事,會将恢複密鑰保存在硬盤中,這也給了我們解密的可能性。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)5

(4)然後BitLocker就開始對整個驅動器進行加密,BitLocker對于驅動器的加密解密耗時較長,用戶需要等待相當長的時間。加密完成之後,可以看到原先的磁盤圖标上多了一把鎖,此時表示驅動器已經加密完成。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)6

解密思路分析

思路1:通過密碼查找解密

從所有涉案介質中獲取與密碼相關的數據,将這些數據整理成字典後,再通過相應的解密工具解密或暴力破解,因為此方法存在很大的不确定性,所以視情況選擇。

思路2:通過恢複密鑰解密

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)7

◆通過BitLocker加密的過程,我們可以知道在加密設置時會産生恢複密鑰,通常大家會以“保存到文件”的方式存放恢複密鑰(一般不會選擇注冊Microsoft賬戶,而打印又容易丢失,所以更多時候選擇保存到文件),這種方式恢複密鑰會以TXT文件的方式存放到存儲介質中;

◆TXT文本數據在介質中存放時,底層是以明文的方式存放的,就算是TXT被删除,隻要底層數據沒有被覆蓋,我們就可以通過底層關鍵字查找、正則匹配的方式找到恢複密鑰進行解密。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)8

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)9

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)10

思路3:其它

◆在一些案件中,通過特定的涉案介質如:加密的U盤或移動硬盤,可以在相關的電腦上啟動自動解鎖功能,我們隻需将涉案介質接到相應的電腦上即可解鎖加密介質;

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)11

◆從解密過Bitlocker加密的電腦内存鏡像中提取BitLocker密鑰,此方法不做描述,可自行查找相應資料;

◆如有其它方法,歡迎留言探讨。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)12

二、 案例實操

現有一涉案電腦分區被BitLocker加密,需要解密分區獲取涉案數據,已經完成涉案電腦硬盤鏡像。

檢材:001.DD

操作軟件:winhex、DRS6800數據恢複系統

解密思路:通過恢複密鑰解密

1、獲取鏡像文件,将其加載到winhex進行全盤檢索關鍵詞“恢複密鑰”(也可以檢索密鑰文本中的其他關鍵詞或對密鑰的規則進行正則匹配檢索),步驟如下:

步驟一:為了提高搜索精準度,将采取十六進制搜索,把“恢複密鑰”寫入到新的TXT中,并将其另存為UTF-16 LE編碼格式的TXT文本,也可以通過與涉案電腦對應的操作系統版本生成一個恢複密鑰的TXT文件(通常保存的密鑰TXT文件會以UTF-16 LE編碼格式存放);

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)13

步驟二:将保存有“恢複密鑰”的txt文本通過winhex打開,并複制“恢複密鑰”對應的十六機制數;

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)14

步驟三:通過winhex打開001.DD,并将鏡像轉換為磁盤;

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)15

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)16

步驟四: 通過已經複制的“恢複密鑰”對應的十六機制數,對打開的001.DD鏡像文件進行全盤檢索,找到與恢複密鑰相關的記錄,進行下一步恢複密鑰解密驗證。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)17

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)18

2、将前面步驟找到的恢複密鑰進行解密驗證,進入DRS6800數據恢複系統數據恢複模塊,加載001.DD鏡像,對鏡像中加密分區右鍵,選擇解鎖Bitlocker,輸入恢複密鑰解密後,選擇快速掃描即可獲取加密分區數據。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)19

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)20

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)21

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)22

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)23

三、 總結

恢複密鑰文件可能會在相關的涉案介質存放,可結合USB插拔記錄等痕迹快速找到相關的介質;

Bitlocker因操作系統的版本不同可能存在兼容性問題,如果通過Windows系統自帶的Bitlocker解密時,需注意選擇與涉案介質相同的操作系統版本;

對于已經處于解密狀态下的分區或USB介質,需要在解密狀态下盡快完成證據固定,可以通過winhex直接打開解密分區的方式固定分區鏡像。要注意的是,如果通過打開磁盤再打開分區的方式固定,分區依然會是加密狀态;

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)24

對于已經處于解密狀态下的分區或USB介質,為了防止突發情況造成介質又處于加密狀态,可以在解密狀态下右鍵管理BitLocker操作備份恢複密鑰文件。

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)25

bitlocker強制加密(三種思路巧妙破解Bitlocker加密)26

四、 案例練習

請按恢複密鑰的方式解密鏡像中的加密分區,并給出加密分區中去重後的word文檔數量。

鍊接:https:///s/1kq2fJpTqsLVAW5g2cjHGUw

提取碼:x25u

如果您有任何想要了解的實操問題,或者在實戰中難以處理的問題,都可以在欄目下方或“效率源”公衆号留言告訴我們,我們會将大家的問題安排進欄目的後續内容。

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关教育资讯推荐

热门教育资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved