类的先决条件
BitLocker加密是Windows的一项数据保护功能,主要用于解决计算机设备物理丢失导致的数据窃取或恶意泄露。可以同时支持FAT和NTFS格式,加密电脑整个系统分区,加密可移动便携存储设备,如u盘、移动硬盘等。
BitLocker使用AES(高级加密标准/Advanced Encryption Standard)128位或256位加密算法进行加密,其加密的安全性和可靠性是有保证的。通常只要密码足够强,这种加密是很难被破解的。因此,当涉案电脑、u盘等被Bitlocker加密后,破解加密获取涉案数据就变得尤为重要。
上课前先公布最后一个问题的答案:数组的块大小:32个扇区;流通方向:右旋;同步和异步模式:同步;起始扇区:0扇区。
如有疑问,请在文章底部留言。
一、解密思路
BitLocker加密过程
(BitLocker加密磁盘的方法非常简单。打开资源管理器,右键点击要加密的磁盘分区,选择“启用BitLocker”。(也可以在控制面板-系统和安全-“BitLocker驱动器加密”中启用和管理加密。)
(2)点击“启用BitLocker”后,在新弹出的窗口中设置加密的驱动器密码,输入后点击“下一步”,然后选择保存恢复密钥的位置。
(3)一般来说,把恢复密钥存储在u盘里或者打印出来比较安全,因为这样做的话,加密的驱动器会和恢复密钥分开保存,安全性会更好。但是在实际操作中,有时候为了省事,恢复密钥会保存在硬盘中,这也给了我们解密的可能。
(4)然后BitLocker开始加密整个驱动器。BitLocker加密和解密驱动器需要很长时间,用户需要等待很长时间。加密完成后,您可以在原始磁盘图标上看到一个额外的锁,这表明该驱动器已被加密。
解密思维分析
1:通过密码查找并解密。
从所有涉案介质中获取与密码相关的数据,整理成字典,然后通过相应的解密工具进行解密或暴力破解。因为这种方法有很大的不确定性,所以要根据情况来选择。
2:通过恢复密钥解密
◆通过BitLocker加密的过程,我们可以知道加密设置时会生成恢复密钥。通常人们会以“保存到文件”的形式保存恢复密钥(一般不会选择注册微软账号,打印容易丢失,所以往往选择保存到文件)。这样,恢复密钥将以TXT文件的形式存储在存储介质中;
TXT文本数据存储在介质中时,底层以纯文本存储。即使删除了TXT,只要底层数据没有被覆盖,我们就可以通过搜索底层关键字和正则匹配找到解密的恢复密钥。
3:其他想法
◆在某些情况下,通过所涉及的特定介质,如加密的u盘或移动硬盘,可以在相关电脑上启动自动解锁功能。我们只能通过将所涉及的介质连接到相应的计算机来解锁加密的介质;
◆从解密的BitLocker加密计算机内存映像中提取Bitlocker密钥。这个方法不描述了,可以自己找相应的数据;
◆如有其他方法,欢迎留言讨论。
二、案例练习
现有的一个涉案计算机分区被BitLocker加密,需要对该分区进行解密才能获得涉案数据。涉案电脑的硬盘镜像已经完成。
材料检验:001。直接伤害
操作软件:winhex、DRS6800数据恢复系统
解密思路:用恢复密钥解密。
1.获取镜像文件并加载到winhex中完整搜索关键字“恢复密钥”(也可以搜索密钥文本中的其他关键字或通过规则匹配搜索密钥的规则)。步骤如下:
第一步:为了提高搜索精度,会采用十六进制搜索,将“恢复密钥”写入一个新的TXT,保存为UTF-16 LE编码格式的TXT文本,也可以由涉案电脑对应的操作系统版本生成恢复密钥的TXT文件(通常保存的密钥TXT文件会以UTF-16 LE编码格式保存);
第二步,通过winhex打开带有“恢复密钥”的txt文本,***“恢复密钥”对应的十六个机制号;
第三步:打开001。DD通过winhex并把镜像转换成磁盘;
第四步:通过***的“恢复键”对应的十六个机制的数量,完整搜索打开的001。DD镜像文件,找到与恢复密钥相关的记录,在下一步验证恢复密钥的解密。
2.解密并验证上一步找到的恢复密钥,进入DRS6800数据恢复系统的数据恢复模块,加载001。DD镜像,右键点击镜像中的加密分区,选择解锁Bitlocker,输入恢复密钥进行解密,选择快速扫描获取加密分区数据。
三。摘要
①恢复密钥文件可能存储在涉案的相关介质中,结合USB插件记录等痕迹可以快速找到相关介质;
②由于操作系统版本不同,Bitlocker可能存在兼容性问题。如果是用Windows系统自带的Bitlocker解密,要注意选择与涉案介质相同版本的操作系统;
③对于已经处于解密状态的分区或USB介质,需要在解密状态下尽快完成证据固定。您可以通过winhex直接打开解密的分区来修复分区映像。注意,如果分区是通过打开磁盘然后打开分区来修复的,那么分区仍然会被加密;
④对于已经处于解密状态的分区或USB介质,为了防止介质因意外情况而处于加密状态,可以右键管理BitLocker在解密状态下操作备份和恢复密钥文件。
四。案例练习
请根据恢复密钥对镜像中的加密分区进行解密,并给出加密分区中去重后的word文档数。
链接:https://pan.baidu.com/s/1kq2fJpTqsLVAW5g2cjHGUw
提货代码:x25u
如果您有什么想了解的实际问题,或者实战中难以处理的问题,可以在专栏底部留言或者“有效来源”微信官方账号告诉我们,我们会将您的问题整理到专栏的后续内容中。
本文来自暮以随然投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/497804.html
微信扫一扫 
