https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA 同样这家企业还提供 Mac 的 T2 芯片解密和备份解密。 现在破解加密都不是直接破解了,都是通过这种间接利用系统 bug 来破解的。 解密, 破解, bitlocker, Mac
近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了 BitLocker 加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。 经过预检发现,硬盘系统分区有 Bitlocker 加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。 完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器 CSIR-5000 (临机绕密取证设备)对启用 TPM+PIN 保护的 BitLocker 加密的 Windows 10 系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该 BitLocker 加密磁盘的 48 位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。 使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的 48 位 BitLocker 恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了 1 个 iPhone 手机备份及 1 个 iPad 备份、两个 iOS 设备的 Lockdown 密钥数据,并解析出了部分有价值的数据。
这个恐怕是启动盘没加密,然后又启用了自动解密(数据盘默认就是自动解密的) 只设置了登入密码,没设置 preboot 加密 解密之后内存里就有密钥数据了 如果是 preboot 密码,那不知道密码应该是无法打开 TPM 的(除非 TPM 有 bug ) 另外,TPM intrusion detection 就是为了处理这种情况。如果有人开盖,TPM 自动上锁,需要 BIOS 管理员密码才能重置。
