【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密

news2024/10/6 8:38:02

【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密

数据加解密通常是个耗时费力的事情—【蘇小沐】

1、实验环境

Windows 11 专业版，[23H2（22631.3007）]

（一）自动开启BitLocker之天坑

1、经验之谈

在2019、2020年左右开始，新发布的品牌笔记本电脑很多都默认打开了Windows操作系统的BitLocker功能，消费级笔记本电脑预装系统通常是Windows家庭版，需要其它版本需要购买新的密钥进行更新，而正常Windows家庭版系统应该是不支持Bitlocker的，但这部分新笔记本电脑的家庭版系统却开启了BitLocker功能！

目前个人实战的遇到过几起品牌笔记本电脑就是BitLocker自加密造成的硬盘数据锁定情况。在现场取证的时候发现分区有加密锁需要格外注意，优先判断是后加密的BitLocker还是系统自开启的BitLocker，最快速的方法是核对下系统版本。

2、常见BitLocker锁情况

在操作系统出现故障或者电脑硬件发生改动时，如更换主板、网卡，加装内存、硬盘；修改系统高级启动设置、更新BIOS设置、系统更新等容易造成BitLocker锁定。

如果没有这方面要求的朋友，建议关闭自动BitLocker加密的功能，防止意外发送数据被锁死。

因为有些人压根就不使用微软账户，所以这种Bitlocker自动加密后并不会将秘钥上传到你的微软账户里。一旦遇到这种BitLocker锁定情况，那么你的数据基本就锁死了，如果刚好这部分数据对你很重要，要破解不仅耗时费钱，能否解密还是概率性事件！！！

3、BitLocker关闭方法

【Windows10路径：设置->更新和安全选项->设备加密->关闭】

【Windows11路径：设置->隐私和安全性->设备加密->关闭】

因Windows版本更新可能导致路径会有变动，上述路径没有找到的推荐搜索框搜索BitLocker。

Windows家庭版是设备加密也就相当于BitLocker加密，Windows专业版则是bitlocker 驱动器加密。

控制面板->系统和安全->BitLocker驱动器加密，可以直接关闭BitLocker驱动器加密，不需要任何密钥！！！。

（二）个人猜测

个人猜测：通过更改成专业版等支持BitLocker的系统版本开启后再切换密钥，或者更改家庭版系统的一些参数设置开启BitLocker。

1、切换系统版本

个人看法，以Windows11系统镜像安装为例：其实大部分的Windows镜像都包含了各个版本，自行下载镜像做PE重装过系统的朋友或许更了解些，在系统镜像安装的过程中，会让你选择安装哪个版本的系统；或者通过更改系统密钥的方法来更改；这也是一些工具可以修改系统版本的缘故。

2、更改家庭版系统参数

以前我做过一个测试，想着找系统设置漏洞能否绕过BitLocker加密。为什么是找系统设置漏洞，因为个人技术能力有限，让我攻击破解BitLocker密码算法这个不现实🤣🤣🤣，哈哈哈，但后面没深入研究，有兴趣的朋友可以自己深入探索下。

本地组策略编辑器中有Windows系统的各类参数设置！！！包括BitLocker的各类参数！！！

（三）正常BitLocker加密过程

简单写下BitLocker加密过程，可略过。

1、未加密状态

2、启用BitLocker加密

3、设置密码

密码应该包含大小写字母、数字、空格以及符号。长度要求至少是8位，个人建议至少包含其中两种类型。

4、保存恢复密钥

选择恢复密钥保存方式。

一般个人建议恢复密钥保存为多份"保存到Microsoft账户（M）、保存到文件"，觉得不安全，可以再单独对恢复密钥文件进行加密。数据加密都是双刃剑，具体取决于个人需求选择！

5、选择驱动器加密方式

选择BitLocker驱动器加密方法，加密或解密整个磁盘速度一般都很慢！！！

Windows10（版本1511）使用了新的磁盘加密模式（XTS-AES），与早期的Windows版本不兼容。

【AES算法可能大家比较熟悉，是一种最常见的对称加密算法（微信小程序加密传输就是使用AES）；这里简单说下XTS-AES算法（也称AES-XTS算法），XTS-AES加密算法是内存安全的核心，用于保护存储设备上静态数据机密性的加密算法，适用于"网络存储的加密模式"，可以随机访问、加解密并⾏化、这样做到了日常数据加密无感化】

后面选择一步一步往下就行，设置好后就会开始加密，等此次加密完成后，后续拷贝新的文件进去都将自动加密，对用户来说是无感的。

6、加密过程

开始加密后，对应的驱动图标即开始变成一个有锁的状态。

等待进度走完即可完成最后的加密。

（四）登录过微软账户找寻方法

【微软官网：https://login.live.com/】

如果曾经登录过微软账户，那么恭喜你，有很大概率可以在微软官网找到BitLocker的密钥。

因为某些原因，微软官网能不能上的去又是另外一个问题了，只能说看运气，遇到登录不了的，试试更改为微软的DNS，或者使用一些游戏加速器等。

1、账户（Account）

微软账户可以在多台设备登录，我们需要在账户设备里面找到需要BitLocker解密的设备。

2、Devices（设备）

找到需要BitLocker解密的设备后，进去后点击管理恢复密钥（Manage recovery keys）。

一般需要验证你的身份信息。

3、BitLocker恢复密钥

查找对应的设备名称、密钥ID、恢复密钥。在BitLocker解锁界面核对密钥ID，填写对应的解锁密钥即可解开BitLocker。

总结

数据无价！

书写片面，纯粹做个记录，有错漏之处欢迎指正。

公众号回复关键词【加解密】自动获取资源合集，如链接失效请留言，便于及时更新。

【声明：欢迎转发收藏，喜欢记得点点赞！转载引用请注明出处，著作所有权归作者 [蘇小沐] 所有】

【注：本文的软件资源等收集于官网或互联网共享，如有侵权请联系删除，谢谢！】

记录
开始编辑：2024年 01月 22日
最后编辑：2024年 01月 23日

好文推荐

出自【数据恢复与取证技术】作者欧季成，【现场取证之Bitlocker加密问题】把"BitLocker解密方法"写的很清晰深入了，我就不在此班门弄斧了。上面分享的内容作者也写到了一些，是我在现场取证和实际检材分析中遇到的一种算是比较特殊BitLocker的情况，之前一直拖着，趁着这次在此做个展开及小结。

▲ 现场取证之Bitlocker加密问题