【加解密篇】电子数据取证分析之特殊的自加密BitLocker解密
数据加解密通常是个耗时费力的事情—【蘇小沐】
1、实验环境
Windows 11 专业版,[23H2(22631.3007)] |
---|
(一)自动开启BitLocker之天坑
1、经验之谈
在2019、2020年左右开始,新发布的品牌笔记本电脑很多都默认打开了Windows操作系统的BitLocker功能,消费级笔记本电脑预装系统通常是Windows家庭版,需要其它版本需要购买新的密钥进行更新,而正常Windows家庭版系统应该是不支持Bitlocker的,但这部分新笔记本电脑的家庭版系统却开启了BitLocker功能!
目前个人实战的遇到过几起品牌笔记本电脑就是BitLocker自加密造成的硬盘数据锁定情况。在现场取证的时候发现分区有加密锁需要格外注意,优先判断是后加密的BitLocker还是系统自开启的BitLocker,最快速的方法是核对下系统版本。
2、常见BitLocker锁情况
在操作系统出现故障或者电脑硬件发生改动时,如更换主板、网卡,加装内存、硬盘;修改系统高级启动设置、更新BIOS设置、系统更新等容易造成BitLocker锁定。
如果没有这方面要求的朋友,建议关闭自动BitLocker加密的功能,防止意外发送数据被锁死。
因为有些人压根就不使用微软账户,所以这种Bitlocker自动加密后并不会将秘钥上传到你的微软账户里。一旦遇到这种BitLocker锁定情况,那么你的数据基本就锁死了,如果刚好这部分数据对你很重要,要破解不仅耗时费钱,能否解密还是概率性事件!!!
3、BitLocker关闭方法
【Windows10路径:设置->更新和安全选项->设备加密->关闭】
【Windows11路径:设置->隐私和安全性->设备加密->关闭】
因Windows版本更新可能导致路径会有变动,上述路径没有找到的推荐搜索框搜索BitLocker。
Windows家庭版是设备加密也就相当于BitLocker加密,Windows专业版则是bitlocker 驱动器加密。
控制面板->系统和安全->BitLocker驱动器加密,可以直接关闭BitLocker驱动器加密,不需要任何密钥!!!。
控制面板->系统和安全->BitLocker驱动器加密,可以直接关闭BitLocker驱动器加密,不需要任何密钥!!!。
控制面板->系统和安全->BitLocker驱动器加密,可以直接关闭BitLocker驱动器加密,不需要任何密钥!!!。
(二)个人猜测
个人猜测:通过更改成专业版等支持BitLocker的系统版本开启后再切换密钥,或者更改家庭版系统的一些参数设置开启BitLocker。
1、切换系统版本
个人看法,以Windows11系统镜像安装为例:其实大部分的Windows镜像都包含了各个版本,自行下载镜像做PE重装过系统的朋友或许更了解些,在系统镜像安装的过程中,会让你选择安装哪个版本的系统;或者通过更改系统密钥的方法来更改;这也是一些工具可以修改系统版本的缘故。
2、更改家庭版系统参数
以前我做过一个测试,想着找系统设置漏洞能否绕过BitLocker加密。为什么是找系统设置漏洞,因为个人技术能力有限,让我攻击破解BitLocker密码算法这个不现实🤣🤣🤣,哈哈哈,但后面没深入研究,有兴趣的朋友可以自己深入探索下。
本地组策略编辑器中有Windows系统的各类参数设置!!!包括BitLocker的各类参数!!!
本地组策略编辑器中有Windows系统的各类参数设置!!!包括BitLocker的各类参数!!!
本地组策略编辑器中有Windows系统的各类参数设置!!!包括BitLocker的各类参数!!!
(三)正常BitLocker加密过程
简单写下BitLocker加密过程,可略过。
1、未加密状态
2、启用BitLocker加密
3、设置密码
密码应该包含大小写字母、数字、空格以及符号。长度要求至少是8位,个人建议至少包含其中两种类型。
4、保存恢复密钥
选择恢复密钥保存方式。
一般个人建议恢复密钥保存为多份"保存到Microsoft账户(M)、保存到文件",觉得不安全,可以再单独对恢复密钥文件进行加密。数据加密都是双刃剑,具体取决于个人需求选择!
5、选择驱动器加密方式
选择BitLocker驱动器加密方法,加密或解密整个磁盘速度一般都很慢!!!
Windows10(版本1511)使用了新的磁盘加密模式(XTS-AES),与早期的Windows版本不兼容。
【AES算法可能大家比较熟悉,是一种最常见的对称加密算法(微信小程序加密传输就是使用AES);这里简单说下XTS-AES算法(也称AES-XTS算法),XTS-AES加密算法是内存安全的核心,用于保护存储设备上静态数据机密性的加密算法,适用于"网络存储的加密模式",可以随机访问、加解密并⾏化、这样做到了日常数据加密无感化】
后面选择一步一步往下就行,设置好后就会开始加密,等此次加密完成后,后续拷贝新的文件进去都将自动加密,对用户来说是无感的。
6、加密过程
开始加密后,对应的驱动图标即开始变成一个有锁的状态。
等待进度走完即可完成最后的加密。
(四)登录过微软账户找寻方法
【微软官网:https://login.live.com/】
如果曾经登录过微软账户,那么恭喜你,有很大概率可以在微软官网找到BitLocker的密钥。
因为某些原因,微软官网能不能上的去又是另外一个问题了,只能说看运气,遇到登录不了的,试试更改为微软的DNS,或者使用一些游戏加速器等。
1、账户(Account)
微软账户可以在多台设备登录,我们需要在账户设备里面找到需要BitLocker解密的设备。
2、Devices(设备)
找到需要BitLocker解密的设备后,进去后点击管理恢复密钥(Manage recovery keys)。
一般需要验证你的身份信息。
3、BitLocker恢复密钥
查找对应的设备名称、密钥ID、恢复密钥。在BitLocker解锁界面核对密钥ID,填写对应的解锁密钥即可解开BitLocker。
总结
数据无价!
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【加解密】自动获取资源合集,如链接失效请留言,便于及时更新。
【声明:欢迎转发收藏,喜欢记得点点赞!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】
【注:本文的软件资源等收集于官网或互联网共享,如有侵权请联系删除,谢谢!】
记录 |
---|
开始编辑:2024年 01月 22日 |
最后编辑:2024年 01月 23日 |
好文推荐
出自【数据恢复与取证技术】作者欧季成,【现场取证之Bitlocker加密问题】把"BitLocker解密方法"写的很清晰深入了,我就不在此班门弄斧了。上面分享的内容作者也写到了一些,是我在现场取证和实际检材分析中遇到的一种算是比较特殊BitLocker的情况,之前一直拖着,趁着这次在此做个展开及小结。
▲ 现场取证之Bitlocker加密问题
【往期精彩回顾】
▲ 【Bitlocker篇】BitLocker无法加密系统盘,提示正在启动Bitlocker,系统找不到指定的文件的解决方案
▲ 【加解密篇】利用HashCat破解RAR压缩包加密文件详细教程
▲ 【加解密篇】Passware Kit Forensic暴力美学-已知部分密码自定义解密详细参数设置