避免pe盘电脑密码 (利用pe盘消除密码)

课前提要

BitLocker加密是Windows数据保护功能主要用于解决计算机设备物理丢失造成的数据盗窃或恶意泄漏,可同时支持FAT和NTFS可加密计算机整个系统分区的两种格式,U盘、移动硬盘等便携式存储设备也可以加密。

BitLocker使用AES(高级加密标准/Advanced Encryption Standard)加密算法为128或256,保证了加密的安全性和可靠性。通常,只要密码有足够的强度,这种加密就很难破解。因此,当取证中遇到涉案电脑时,U盘等被Bitlocker破解加密以获取涉案数据尤为重要。因此,当取证中遇到涉案电脑时,U盘等被Bitlocker破解加密以获取涉案数据尤为重要。

上课前,先公布上一个问题的答案:阵列块大小:32扇区;循环方向:右旋;同步模式:同步;起始扇区:0扇区

如有疑问,请在文章底部留言。

一、解密思路

BitLocker加密的过程

(1)

磁盘BitLocker加密的方法非常简单。打开资源管理器,单击要加密的磁盘分区BitLocker”即可。(在控制面板-系统与安全-BitLocker加密也可驱动加密中使用和管理加密。)

(2)

点击“启用BitLocker在新弹出窗口中设置加密驱动密码,输入后点击下一步,然后选择保存和恢复密钥的位置。

(3)

一般来说,恢复密钥存储在USB闪存驱动器或打印出来的安全系数更高,因为在这种情况下,加密驱动器和恢复密钥分开保存,安全性更好。但在实践中,有时为了省事,恢复密钥会保存在硬盘中,这也给了我们解密的可能性。

(4)

然后BitLocker开始加密整个驱动器,BitLocker用户需要等待相当长的时间来加密和解密驱动器。加密完成后,可以看到原磁盘图标上有一把锁,这意味着驱动器已经加密。

解密思路分析

思路1:通过密码搜索解密

从所有涉及的介质中获取与密码相关的数据,数据整理成字典,然后通过相应的解密工具进行解密或暴力破解。由于该方法存在很大的不确定性,因此根据情况进行选择。

思路2:通过恢复密钥解密

◆通过BitLocker在加密过程中,我们可以知道在加密设置过程中会产生恢复密钥常,恢复密钥将以保存到文件的方式存储(通常不会选择注册)Microsoft而且打印容易丢失,所以更多时候选择保存文件),这样,密钥就会恢复TXT存储介质中存储文件的方式;

◆TXT文本数据存储在介质中时,底层以明文的形式存储,即使TXT删除后,只要底层数据没有被覆盖,我们就可以通过底层关键字搜索和正则匹配找到恢复密钥进行解密。

思路3:其它

◆在某些情况下,自动解锁功能可以通过加密U盘或移动硬盘等特定介质在相关计算机上启动,我们只需将涉案介质连接到相应的计算机即可解锁加密介质;

◆从解密过Bitlocker提取加密计算机内存镜像BitLocker密钥,这种方法不描述,可以自找相应信息;

◆如有其他方法,请留言讨论。

二、 案例实操

涉案现有计算机分区BitLocker加密,需要解密分区获取涉案数据,已完成涉案计算机硬盘镜像。

检材:001.DD

操作软件:winhex、DRS6800数据恢复系统

解密思路:通过恢复密钥解密

1.获取镜像文件并将其加载到winhex全面检索关键词恢复密钥(也可以检索密钥文本中的其他关键词或正常匹配密钥规则),步骤如下:

步骤一:

为提高搜索精度,将采用16进制搜索,将恢复密钥写入新的搜索中TXT并将其另存为UTF-16 LE编码格式的TXT文本,恢复密钥也可以通过与涉案计算机对应的操作系统版本生成TXT文件(通常保存的密钥TXT文件会以UTF-16 LE存储编码格式);

步骤二:

恢复密钥将被保存txt文本通过winhex打开,复制恢复密钥对应的16机制数;

步骤三:

通过winhex打开001.DD,并将镜像转换为磁盘;

步骤四:

打开的001通过复制的恢复密钥对应的16机制数.DD全面检索镜像文件,找到与恢复密钥相关的记录,进行下一步恢复密钥解密验证。

2.解密验证前一步找到的恢复密钥,进入DRS加载001的6800数据恢复系统数据恢复模块.DD镜像,右键在镜像中加密分区,选择解锁Bitlocker,输入恢复密钥解密后,选择快速扫描获取加密分区数据。

三、 总结

恢复密钥文件可存储在相关介质中,可结合USB快速找到插拔记录等相关介质;

Bitlocker由于操作系统的版本不同,如果通过Windows系统自带的Bitlocker解密时,注意选择与涉案介质相同的操作系统版本;

处于解密状态的分区或USB介质,证据可以在解密状态下尽快固定,winhex直接打开解密分区固定分区镜像。需要注意的是,如果通过打开磁盘和打开分区来固定,分区仍然会加密;

处于解密状态的分区或USB为了防止介质在紧急情况下再次加密,可以在解密状态下右键管理BitLocker操作备份恢复密钥文件。


四、 案例练习

请按照恢复密钥的方式解密镜像中的加密分区,并在加密分区中加重word文档数量。

链接:https://pan.baidu.com/s/1kq2fJpTqsLVAW5g2cjHGUw

提取码:x25u

如果您有任何实际问题需要了解,或者在实战中难以处理,可以在栏目下方或效率源微信官方账号留言告诉我们,我们将在栏目的后续内容中安排您的问题。