看到了一篇 bitlocker 被警方解密的文章

查看 185|回复 11
作者:FutureApple   
https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA
同样这家企业还提供 Mac 的 T2 芯片解密和备份解密。
现在破解加密都不是直接破解了,都是通过这种间接利用系统 bug 来破解的。

解密, 破解, bitlocker, Mac

FutureApple
OP
  
近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了 BitLocker 加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。
经过预检发现,硬盘系统分区有 Bitlocker 加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。
完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器 CSIR-5000 (临机绕密取证设备)对启用 TPM+PIN 保护的 BitLocker 加密的 Windows 10 系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该 BitLocker 加密磁盘的 48 位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。
使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的 48 位 BitLocker 恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了 1 个 iPhone 手机备份及 1 个 iPad 备份、两个 iOS 设备的 Lockdown 密钥数据,并解析出了部分有价值的数据。
recolic   
我连夜换用 dm-crypt
mokiki   
低情商:Bug
高情商:法制友好机制
xmumiffy   
开机即解锁确实危险
czyhd   
直接读内存?
dode   
数据盘单独开加密,不开启自动解密
cherryas   
不会真的有人觉得靠 windows 自带的加密就特别安全了吧.
ryd994   
这个恐怕是启动盘没加密,然后又启用了自动解密(数据盘默认就是自动解密的)
只设置了登入密码,没设置 preboot 加密
解密之后内存里就有密钥数据了
如果是 preboot 密码,那不知道密码应该是无法打开 TPM 的(除非 TPM 有 bug )
另外,TPM intrusion detection 就是为了处理这种情况。如果有人开盖,TPM 自动上锁,需要 BIOS 管理员密码才能重置。
FutureApple
OP
  
@ryd994 bitlocker 只有在启动盘设置了加密的情况下才能自动解密
您需要登录后才可以回帖 登录 | 立即注册

返回顶部