看到了一篇 bitlocker 被警方解密的文章

311 天前
 FutureApple

https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA

同样这家企业还提供 Mac 的 T2 芯片解密和备份解密。 现在破解加密都不是直接破解了,都是通过这种间接利用系统 bug 来破解的。

19011 次点击
所在节点    Windows
109 条回复
FutureApple
311 天前
近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了 BitLocker 加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。

经过预检发现,硬盘系统分区有 Bitlocker 加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。

完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器 CSIR-5000 (临机绕密取证设备)对启用 TPM+PIN 保护的 BitLocker 加密的 Windows 10 系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该 BitLocker 加密磁盘的 48 位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。

使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的 48 位 BitLocker 恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了 1 个 iPhone 手机备份及 1 个 iPad 备份、两个 iOS 设备的 Lockdown 密钥数据,并解析出了部分有价值的数据。
recolic
311 天前
我连夜换用 dm-crypt
mokiki
311 天前
低情商:Bug
高情商:法制友好机制
xmumiffy
311 天前
开机即解锁确实危险
czyhd
311 天前
直接读内存?
dode
311 天前
数据盘单独开加密,不开启自动解密
cherryas
311 天前
不会真的有人觉得靠 windows 自带的加密就特别安全了吧.
ryd994
311 天前
这个恐怕是启动盘没加密,然后又启用了自动解密(数据盘默认就是自动解密的)
只设置了登入密码,没设置 preboot 加密
解密之后内存里就有密钥数据了

如果是 preboot 密码,那不知道密码应该是无法打开 TPM 的(除非 TPM 有 bug )

另外,TPM intrusion detection 就是为了处理这种情况。如果有人开盖,TPM 自动上锁,需要 BIOS 管理员密码才能重置。
FutureApple
311 天前
@ryd994 bitlocker 只有在启动盘设置了加密的情况下才能自动解密
rockyzhang
311 天前
应该是通过 PCIe 进去的吧,通过 PCIe 去读写 memory, TPM 也放不了
xtreme1
311 天前
这个每季度都能在 V2 看到一次..
spatxos
311 天前
原来是卖设备的。。。。
ryd994
311 天前
@FutureApple 启动盘分 preboot 加密和 boot 之后 pin 解密
boot 之后才用 pin 解密的话基本就等于没加密
我自用电脑就是 pin 解密,少输一次密码比较方便,没什么敏感内容

非 preboot 加密的主要意义是卖二手硬盘时只需要销毁密钥,有助于保护隐私。但是对于敏感数据来说是不够用的。

公司电脑就是有 preboot+intrusion detection ,一旦开盖电脑就作废,只能用于处理非敏感工作内容。我就见过有人电脑摔了一下,然后就被锁了。
ryd994
311 天前
@rockyzhang TPM 确实防不了内存数据读取。但是核心问题是这个密钥在没有 TPM 密码的情况下就不应该出现在内存里。

注意“十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统”其实到这一步就已经不行了。后面用 pcie 卡读密钥只是为了方便后面的取证。

preboot 加密就是为了应对这个问题。
churchmice
311 天前
@recolic 不好意思,你去搜一下 dm-crypt 锅更大
TOUJOURSER
311 天前
有没有三天不登录自动销毁硬盘的工具
tbc3211
311 天前
开源 pcileech 应用实践
luhe
311 天前
所以 Mac T2 是怎么解密的
abc0123xyz
311 天前
收藏了,研究刑法收入的时候用
Tyuans
311 天前
@cherryas 前段时间甲方有个笔记本应该是原使用者走了,现在有新的使用者,但不知道密码。就找到我的项目经理,然后找到我,说重装系统也可以。我很烦,不想重装,甲方有负责装系统的部门,不找他们让我装,装坏了算谁的。我仔细问才告诉我是密码不知道,也不想去问。我直接拿我 u 盘里的 pe 把 win 密码删了。看完甲方和经理都震惊了,甲方领导还一个劲说太不安全了,难怪要搞国产系统什么的,我甚至怀疑他认为这个是美帝微软故意留得后门…

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/953530

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX