【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密

news2024/11/24 6:43:58

【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密

数据加解密通常是个耗时费力的事情—【蘇小沐】

1、实验环境

Windows 11 专业版,[23H2(22631.3007)]

(一)自动开启BitLocker之天坑

1、经验之谈

在2019、2020年左右开始,新发布的品牌笔记本电脑很多都默认打开了Windows操作系统的BitLocker功能,消费级笔记本电脑预装系统通常是Windows家庭版,需要其它版本需要购买新的密钥进行更新,而正常Windows家庭版系统应该是不支持Bitlocker的,但这部分新笔记本电脑的家庭版系统却开启了BitLocker功能!

目前个人实战的遇到过几起品牌笔记本电脑就是BitLocker自加密造成的硬盘数据锁定情况。在现场取证的时候发现分区有加密锁需要格外注意,优先判断是后加密的BitLocker还是系统自开启的BitLocker,最快速的方法是核对下系统版本。

2、常见BitLocker锁情况

在操作系统出现故障或者电脑硬件发生改动时,如更换主板、网卡,加装内存、硬盘;修改系统高级启动设置、更新BIOS设置、系统更新等容易造成BitLocker锁定。

如果没有这方面要求的朋友,建议关闭自动BitLocker加密的功能,防止意外发送数据被锁死。

因为有些人压根就不使用微软账户,所以这种Bitlocker自动加密后并不会将秘钥上传到你的微软账户里。一旦遇到这种BitLocker锁定情况,那么你的数据基本就锁死了,如果刚好这部分数据对你很重要,要破解不仅耗时费钱,能否解密还是概率性事件!!!

3、BitLocker关闭方法

【Windows10路径:设置->更新和安全选项->设备加密->关闭】

【Windows11路径:设置->隐私和安全性->设备加密->关闭】

因Windows版本更新可能导致路径会有变动,上述路径没有找到的推荐搜索框搜索BitLocker。

Windows家庭版是设备加密也就相当于BitLocker加密,Windows专业版则是bitlocker 驱动器加密。

图片

控制面板->系统和安全->BitLocker驱动器加密,可以直接关闭BitLocker驱动器加密,不需要任何密钥!!!

控制面板->系统和安全->BitLocker驱动器加密,可以直接关闭BitLocker驱动器加密,不需要任何密钥!!!

控制面板->系统和安全->BitLocker驱动器加密,可以直接关闭BitLocker驱动器加密,不需要任何密钥!!!

图片

(二)个人猜测

个人猜测:通过更改成专业版等支持BitLocker的系统版本开启后再切换密钥,或者更改家庭版系统的一些参数设置开启BitLocker。

1、切换系统版本

个人看法,以Windows11系统镜像安装为例:其实大部分的Windows镜像都包含了各个版本,自行下载镜像做PE重装过系统的朋友或许更了解些,在系统镜像安装的过程中,会让你选择安装哪个版本的系统;或者通过更改系统密钥的方法来更改;这也是一些工具可以修改系统版本的缘故。

2、更改家庭版系统参数

以前我做过一个测试,想着找系统设置漏洞能否绕过BitLocker加密。为什么是找系统设置漏洞,因为个人技术能力有限,让我攻击破解BitLocker密码算法这个不现实🤣🤣🤣,哈哈哈,但后面没深入研究,有兴趣的朋友可以自己深入探索下。

本地组策略编辑器中有Windows系统的各类参数设置!!!包括BitLocker的各类参数!!!

本地组策略编辑器中有Windows系统的各类参数设置!!!包括BitLocker的各类参数!!!

本地组策略编辑器中有Windows系统的各类参数设置!!!包括BitLocker的各类参数!!!

图片

(三)正常BitLocker加密过程

简单写下BitLocker加密过程,可略过。

1、未加密状态

图片

2、启用BitLocker加密

图片

3、设置密码

密码应该包含大小写字母、数字、空格以及符号。长度要求至少是8位,个人建议至少包含其中两种类型。

图片

4、保存恢复密钥

选择恢复密钥保存方式。

图片

一般个人建议恢复密钥保存为多份"保存到Microsoft账户(M)、保存到文件",觉得不安全,可以再单独对恢复密钥文件进行加密。数据加密都是双刃剑,具体取决于个人需求选择!

图片

5、选择驱动器加密方式

选择BitLocker驱动器加密方法,加密或解密整个磁盘速度一般都很慢!!!

图片

Windows10(版本1511)使用了新的磁盘加密模式(XTS-AES),与早期的Windows版本不兼容。

【AES算法可能大家比较熟悉,是一种最常见的对称加密算法(微信小程序加密传输就是使用AES);这里简单说下XTS-AES算法(也称AES-XTS算法),XTS-AES加密算法是内存安全的核心,用于保护存储设备上静态数据机密性的加密算法,适用于"网络存储的加密模式",可以随机访问、加解密并⾏化、这样做到了日常数据加密无感化】

图片

后面选择一步一步往下就行,设置好后就会开始加密,等此次加密完成后,后续拷贝新的文件进去都将自动加密,对用户来说是无感的。

6、加密过程

图片

开始加密后,对应的驱动图标即开始变成一个有锁的状态。

图片

等待进度走完即可完成最后的加密。

图片

(四)登录过微软账户找寻方法

【微软官网:https://login.live.com/】

如果曾经登录过微软账户,那么恭喜你,有很大概率可以在微软官网找到BitLocker的密钥。

因为某些原因,微软官网能不能上的去又是另外一个问题了,只能说看运气,遇到登录不了的,试试更改为微软的DNS,或者使用一些游戏加速器等。

1、账户(Account)

微软账户可以在多台设备登录,我们需要在账户设备里面找到需要BitLocker解密的设备。

图片

2、Devices(设备)

找到需要BitLocker解密的设备后,进去后点击管理恢复密钥(Manage recovery keys)。

图片

一般需要验证你的身份信息。

图片

3、BitLocker恢复密钥

查找对应的设备名称、密钥ID、恢复密钥。在BitLocker解锁界面核对密钥ID,填写对应的解锁密钥即可解开BitLocker。

图片

总结

数据无价!

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词【加解密】自动获取资源合集,如链接失效请留言,便于及时更新。

【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】

【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】

记录
开始编辑:2024年 01月 22日
最后编辑:2024年 01月 23日

好文推荐

出自【数据恢复与取证技术】作者欧季成,【现场取证之Bitlocker加密问题】把"BitLocker解密方法"写的很清晰深入了,我就不在此班门弄斧了。上面分享的内容作者也写到了一些,是我在现场取证和实际检材分析中遇到的一种算是比较特殊BitLocker的情况,之前一直拖着,趁着这次在此做个展开及小结。

图片▲ 现场取证之Bitlocker加密问题

【往期精彩回顾】

图片

▲ 【Bitlocker篇】BitLocker无法加密系统盘,提示正在启动Bitlocker,系统找不到指定的文件的解决方案

图片

▲ 【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程

图片

▲ 【加解密篇】Passware Kit Forensic暴力美学-已知部分密码自定义解密详细参数设置

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1405958.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

php基础学习之数据类型

php数据类型的基本概念 数据类型:data type,在PHP中指的是数据本身的类型,而不是变量的类型。 PHP 是一种弱类型语言,变量本身没有数据类型。 把变量类比成一个杯子(容器),杯子可以装雪碧、可…

2024茶饮品牌如何出圈,媒介盒子分析

随着新式茶饮的消费场景更加多元化,品类不断拓宽,消费者对新式茶饮的热情也是只增不减。居民可支配收入水平不断上升,居民消费升级为新式茶饮的发展也提供了良好基础,今天媒介盒子就来和大家聊聊:2024茶饮品牌如何出圈…

【数据分析】matplotlib、numpy、pandas速通

教程链接:【python教程】数据分析——numpy、pandas、matplotlib 资料:https://github.com/TheisTrue/DataAnalysis 1 matplotlib 官网链接:可查询各种图的使用及代码 对比常用统计图 1.1 折线图 (1)引入 from …

软考之软件工程

一、瀑布模型 严格区分阶段,每个阶段因果关系紧密相连,只适合需求明确的项目 缺点:软件需求完整性、正确性难确定;严格串行化,很长时间才能看到结果;瀑布模型要求每个阶段一次性完全解决该阶段工作&#xf…

Prometheus+Grafana监控Mysql数据库

Promethues Prometheus https://prometheus.io Prometheus是一个开源的服务监控系统,它负责采集和存储应用的监控指标数据,并以可视化的方式进行展示,以便于用户实时掌握系统的运行情况,并对异常进行检测。因此,如何…

【测试开发】Junit5 + YAML 轻松实现参数化和数据驱动,让 App 自动化测试更高效(一)

1. 何为数据驱动 什么是参数化?什么又是数据驱动?经常有人会搞不明白他们的关系,浅谈一下个人的理解,先来看两个测试中最常见的场景: 登录:不同的用户名,不同的密码,不同的组合都需要…

makefile编译静态链接库(.a文件)

文章目录 makefile编译静态链接库(.a文件) makefile编译静态链接库(.a文件) 搞个文件测试静态链接库 aTest.h // // Created by qiufh on 2024-01-23. //#ifndef UNTITLED3_ATEST_H #define UNTITLED3_ATEST_Hclass aTest { pu…

c语言数据结构:单链表及其相关基础操作

目录 0.创建一个额外新的结点 1.链表的概念及其结构 2.单链表的概念 3.单链表的结点的创建 4. 顺序表的打印 5. 链表的尾插 5.1 有关单链表的传参 (重点) 5.1.1 错误的写法 5.1.2 如何修正 5.1.3 正确的写法 5.1.4 看穿二级指针变量 ​编辑 6.链表的头插 7.单链表的…

C++进阶:多态(下)

1、多态的原理 多态之所以可以实现,主要是因为虚函数表的存在,虚函数表用于记录虚函数的地址,他是一个函数指针数组,在类中用一个函数指针数组指针来指向数组,子类继承了父类的虚函数表,当有重写的情况发生…

软考14-上午题-编译、解释程序翻译阶段

一、编译、解释程序【回顾】 目的:高级程序设计语言(汇编语言、高级语言)—【翻译】—>机器语言 1-1、编译方式 将高级语言书写的源程序——>目标程序(汇编语言、机器语言) 包含的工作阶段:词法分…

latex添加图片以及引用的实例教程

原理 在 LaTeX 中插入图片,通常是使用 \includegraphics 命令,它是由 graphicx 包提供的。首先,确保在文档的前言部分(\documentclass 之后和 \begin{document} 之前)包含了 graphicx 包。 下面是一个基本的例子来展…

Hikvision综合安防管理平台files;.css接口存在任意文件读取漏洞 附POC软件

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Hikvisi…

HIVE中关联键类型不同导致数据重复,以及数据倾斜

比如左表关联键是string类型,右表关联键是bigint类型,关联后会出现多条的情况 解决方案: 关联键先统一转成string类型再进行关联 原因: 根据HIVE版本不同,数据位数上限不同, 低版本的超过16位会出现这种…

变分自编码器VAE模型与应用

变分自编码器(VAE,Variational Autoencoder)是一种深度学习模型,用于数据生成和特征学习。它结合了自编码器(autoencoders)和贝叶斯推断。 下面是VAE的详细解释: 自编码器(Autoenco…

Kafka-消费者-KafkaConsumer分析总结

KafkaConsumer依赖SubscriptionState管理订阅的Topic集合和Partition的消费状态,通过ConsumerCoordinator与服务端的GroupCoordinator交互,完成Rebalance操作并请求最近提交的offset。 Fetcher负责从Kafka中拉取消息并进行解析,同时参与posi…

关于网络协议的笔记

简介: 协议,网络协议的简称,网络协议是通信计算机双方必须共同遵从的一组约定。如怎么样建立连 接、怎么样互相识别等。只有遵守这个约定,计算机之间才能相互通信交流。它的三要素是:语 法、语义、时序。 为了使数据…

REVIT二次开发 自动门窗墙体标注

步骤1 步骤2 步骤3 using System; using System.Collections.Generic; using System.Linq; using System

视频转换成文字,原来转换的方法这么简单!

在我们的生活中,不少小伙伴是否遇到过这样的情况?观看网络视频时,由于解说内容极为引人入胜,忍不住想将其内容记录下来,但这手动逐句整理的过程既耗时又费力。幸运的是,经过一番努力查找,确实有…

Hbas简介:数据模型和概念、物理视图

文章目录 说明零 BigTable一 Hbase简介二 HBase 访问接口简介三 行式&列式存储四 HBase 数据模型4.1 HBase 列族数据模型4.2 数据模型的相关概念4.3 数据坐标 五 概念&物理视图 说明 本文参考自林子雨老师的大数据技术原理与应用(第三版)教材内容,仅供学习…

面试篇-大厂的面试流程和面试注意事项

以前找工作的时候,对于流程中的面试总是好奇流程走到哪一步了,这一轮面试有没有通过,后面不通过还有没有消息通知等问题。今天作为一个求职者和面试官的身份来主要讲一下大厂招聘,内部的面试过程以及流转的流程是什么样的以及该注…