内存取证之破解BitLocker加密

渗透技巧 2年前 (2022) admin
4,704 0 0

内存取证之破解BitLocker加密


自Windows Vista开始,Windows新增了一种数据保护功能—BitLocker驱动器加密,它能够防止因计算机或移动存储介质等物理设备丢失导致的数据失窃或恶意泄露。也就是说,如果你不想让一些敏感数据被其他人发现,那么就可以使用Windows自带的这个加密工具进行加密。


从取证的角度来看,关心更多的当然是拿到BitLocker加密设备时,如何在不知道解密密钥的情况下对里面的重要数据做固定分析。下面就分享一个如何通过计算机内存镜像破解BitLocker加密的方法。


1.获取镜像


Bitlocker加密的对象一般是U盘或电脑中的某个磁盘,无论是哪种,都需要先对U盘或计算机磁盘制作一个镜像用于证据固定和分析。如何制作计算机、U盘镜像就不在这里赘述了,本文主要说明一下如何获取内存镜像。(通过内存破解BitLocker密钥的前提是内存中有密钥痕迹,即计算机解密过Bitlocker)。


首先要清楚一点,内存镜像和磁盘分区镜像是不一样的。计算机内主要的存储部件是内存和磁盘,磁盘中存储着各种数据,而存储的程序是必须加载到内存中才能运行(即程序在内存中运行)。取证中常见的磁盘分区镜像文件后缀有*.dd、*.E01、*. qcow2等。常见内存镜像文件后缀有*.raw、*.mem、*.dd等。这里用到的内存镜像获取工具是AccessData FTK Imager。下面是获取内存镜像的步骤:


(1)打开AccessData FTK Imager软件,点击工具栏获取内存图标或选择“File”->“Capture Memory”。


内存取证之破解BitLocker加密


内存取证之破解BitLocker加密


(2)点击“Browse”选择内存镜像保存路径,可自行修改内存镜像文件名称,默认名称为“memdump.mem”。


内存取证之破解BitLocker加密


(3)点击“Capture Memory”开始制作镜像,制作完成后可在相应路径中找到制作的内存镜像文件。


内存取证之破解BitLocker加密


2.挂载镜像


这里使用的镜像挂载工具是Arsenal Image Mounter。下面是操作步骤:

(1)打开Arsenal Image Mounter软件,点击“Mount disk image”选择要挂载的镜像。


内存取证之破解BitLocker加密

内存取证之破解BitLocker加密


(2)然后会弹出一个Mount options(挂载选项)窗口,这里选择Read only disk device(只读)。


内存取证之破解BitLocker加密


(3)镜像挂载完成后可以在本地电脑上查看,下图中展示了镜像挂载完成后在本地计算机中出现的BitLocker加密磁盘。


内存取证之破解BitLocker加密


内存取证之破解BitLocker加密


3.破解密钥


本文的重量级嘉宾是Elcomsoft Forensic Disk Decryptor,它是ElcomSoft Distributed Password Recovery中的一个工具, ElcomSoft Distributed Password Recovery是来自俄罗斯ElcomSoft公司开发的一款超强暴力型全功能分布式密码恢复工具,这款密码破解软件俄罗斯版本也叫雷神分布式密码破解工具,支持包括所有版本的Microsoft Office、操作系统密码、OpenOffice、ZIP/7zip、RAR/RAR5、PDF、BitLocker、PGP、TrueCrypt在内的多达300种不同类型不同强度密码的暴力破解。


话不多说,下面就来展示一下如何使用Elcomsoft软件破解Bitlocker密钥。


前景提要:在一起刷单诈骗案件中,办案人员持有涉案团伙一台BitLocker加密磁盘的笔记本,对笔记本制作了win10.E01镜像和memorydump.dd内存镜像。现已将win10.E01镜像挂载到本地,需要用Elcomsoft Forensic Disk Decryptor进行密钥破解。


(1)关闭杀毒软件和系统病毒防护,打开Elcomsoft Forensic Disk Decryptor软件,选择“Decrypt or mount disk(解密/装载磁盘)”。


内存取证之破解BitLocker加密


(2)选择“Physical diskpartition(物理磁盘分区)”,点击下一步。


内存取证之破解BitLocker加密


(3)选择要解密的Bitlocker加密磁盘,点击“Browse…”选择内存镜像文件,点击下一步。


内存取证之破解BitLocker加密


内存取证之破解BitLocker加密


(4)等待提取密钥完成后,点击下一步。


内存取证之破解BitLocker加密


(5)在这一步可以看到恢复密钥为“090156-170412-674399-072688-372548-036355-100870-283371”。此时选择“mount disk”挂载已解密的Bitlocker磁盘。也可以直接对已挂载的BitLocker加密磁盘输入恢复密钥进行解密。


内存取证之破解BitLocker加密


内存取证之破解BitLocker加密


内存取证之破解BitLocker加密


完成解锁后,即可查看磁盘里的文件。


内存取证之破解BitLocker加密


结束语


当然,在真实案件侦察过程中,有更简单的方法能够快速获取加密数据。比如,办案人员手里拿到加密的移动存储介质和用于加密的笔记本,直接将移动存储介质插在电脑上就能自动解密(前提是将系统的BitLocker设置为自动解锁)。


那么问题来了,如果手里只有一个加密的移动存储介质但没有用于加密的电脑怎么办?这里建议办案人员在查收涉案设备时,最好将所有的电子设备和存储介质都进行收押,因为如果手里只有一个Bitlocker加密U盘,那么是无法进行解密的。是否可以通过暴力破解进行解密呢?很遗憾,Bitlocker加密使用AES-128或AES-256算法,如果想对AES-128算法进行暴力破解,以目前计算机的运算能力来说,至少需要2104亿年。


工具下载链接:https://pan.baidu.com/s/1ljf6P69Ku6yiJZeBa5ApnA 提取码: dan7


安全为先,洞鉴未来,奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用,请联系奇安信各区域销售代表,或致电95015,期待您的来电!







“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“漏洞思维”解决电子数据取证难题,以“数据驱动安全”为技术思想,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。





内存取证之破解BitLocker加密

原文始发于微信公众号(盘古石取证):内存取证之破解BitLocker加密

版权声明:admin 发表于 2022年6月28日 下午12:12。
转载请注明:内存取证之破解BitLocker加密 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...