Windows bitlocker 加密成绩
Windows版本和必要要求
依据微软官方提供的信息,Windows专业版/企业版/教导版的利用体系支持开启和使用Bitlocker加密。但是在实践取证事情中观察员约莫会发觉,在分析家庭版利用体系时,其硬盘底层也是处于Bitlocker加密形态的,但微软官方明白地指出家庭版的利用体系是不支持Bitlocker加密保护的。
(Bitlocker保护版本要求)
关于Windows家庭版的“Bitlocker保护”准确来说应该称之为装备加密。装备加密相反是一项Windows保护办法,为磁盘提供一种主动启用Bitlocker加密的简一办法。与标准Bitlocker不同,装备加密会主动启用且在Windows安装激活历程中举行初始化,这种形态相当于Bitlocker的挂起形态。
假如要手动办理装备加密形态,可在[设置]中可找到装备加密的设置界面,Windows 11家庭版体系下,装备加密选项在[设置]-[隐私和宁静性]-[装备加密]。
(装备加密)
相反也可在[控制面板]-[装备加密]举行密钥的备份。装备加密在关于切合装备加密条件的装备上主动掀开Bitlocker,且规复密钥会主动上传到微软账户。
(装备加密)
(备份密钥)
怎样开启Bitlocker
Bitlocker加密除了可以保护当地分区外,也可对外置存储装备举行Bitlocker加密(Bitlocker To Go),好比对挪动硬盘、U盘举行加密以保护此中的数据(Windows家庭版不支持)。可在[控制面板]-[Bitlocker驱动器加密]-[启用Bitlocker]来开启Bitlocker保护。
(开启Bitlocker保护)
关于手动开启Bitlocker加密,有三种解锁办法可选,分散是使用暗码解锁、使用智能卡解锁以及在此盘算机上主动解锁,用户可选择一种或多种办法举行解锁。
(解锁办法)
选择使用暗码解锁则每次挂载加密卷时会要求输入预设的暗码才可解密;智能卡(需单独置办)解锁则必要确保插进智能卡才可解密被加密卷;此盘算机上主动解锁是指被加密的驱动器被挂载到如今利用体系下则会主动举行解密,可经过manage-bde办理东西来查察Bitlocker保护典范。指令:manage-bde-status x: \\x表现盘符。如今C盘处于使用TPM保护形态。
(TPM,主动解密)
如今H盘的解锁办法仅为此盘算机下主动解密,且未设置使用暗码解锁。
(此盘算机下主动解密)
如今G盘仅设置了使用暗码保护驱动器,未开启此盘算机下主动解密驱动器。
(暗码保护)
如今E盘可知,开启了使用暗码解锁驱动器也设置了此盘算机下主动解锁驱动器。
(暗码 主动解密)
别的关于具有TPM(可信任平台模块)宁静芯片的装备,不成对OS卷(默许C盘)单独设置Bitlocker暗码,除非不具有/禁用TPM情况下可单独设置。那么OS卷设置了Bitlocker暗码后每次开时奥密求验证暗码才可解密OS卷并引导利用体系,如图所示。
(OS卷单独设置Bitlocker暗码)
Bitlocker挂起形态
在[控制面板]中Bitlocker驱动器加密形态体现为“Bitlocker正在等候激活”可了解为此时驱动器处于Bitlocker挂起形态。如今形态下驱动器以前被加密,但规复密钥却是以纯文本情势存储。
以Windows 11为例,初次激活使用时假如以当地账户登录的办法激活体系则约莫会显现Bitlocker挂起形态,且开启装备加密。仅有当登录微软账户今后则会主动激活Bitlocker完备保护,且规复密钥会被主动上传至微软账户举行保存。
(Bitlocker等候激活)
此形态下,在[磁盘办理器]中相反会体现驱动器被Bitlocker加密保护,别的经过XWF查察其底层数据布局,相反会体现为加密形态。
(磁盘办理器中的形态)
假如装备一直处于这种形态下,那么观察员对其举行物理镜像的获取后,在举行数据分析时约莫会发觉固然体系下体现驱动器开启了Bitlocker加密,但却可以剖析到分区布局和明文的数据内容。
(Bitlocker挂起形态的硬盘被挂载)
Bitlocker加密后的体现
推断对否开启了Bitlocker加密最直观简便的办法是在[盘算机]中查察各卷的标识,如图可以看出来,如今体系下挂载了四个卷。此中C盘,D盘处于Bitlocker保护形态,由于可以看到有一把锁的标志;E和F未开启Bitlocker保护。
(盘算机)
被Bitlocker保护的驱动器,其DBR特性十分分明,经过XWF可见标志头位“FVE-FS”。
(Bitlocker保护卷的DBR)
(未开启Bitlocker保护卷的DBR)
Bitlocker加密的处理
1. 开机形态
在数据安稳时假如允许登入利用体系,关于启用Bitlocker保护的硬盘在举行证据安稳时不成做通盘镜像,由于做下去的磁盘镜像仍为加密形态。可以使用在线取证软件或镜像软件对各分区制造逻辑镜像。
如下图,在案件中以物理驱动器的办法将整块硬盘添加到案件中,可以看到如今硬盘仅有一个分区,且处于Bitlocker加密形态
(物理驱动器)
相反的硬盘,这次以添加逻辑驱动器的情势将分区添加到案件中,如下图所示,不丢脸出添加逻辑驱动器是可以剖析出完备的分区布局的。以是关于存在Bitlocker保护卷的硬盘制造磁盘镜像是无法直接解密的,除非已知暗码或规复密钥。
(逻辑分区)
在体系下也可使用manage-bde将加密卷的规复密钥读取出来。指令:manage-bde -protectors -get x: \\x表现盘符
(读取密钥)
2. 暴力破解
在无法把握暗码和规复密钥的情况下,必要时只能选择暴力破解的办法举行解密,举行暴力破解时可选择商业软件也可使用开源软件,具体暴力破解的时间取决于暗码强度及算力。
2.1使用Passware Kit Forensic
Passware Kit Forensic是一款暗码破解的商业软件,破解Bitlocker加密必要添加被加密卷的镜像文件。
(主界面)
[Full Disk Encryption]-[Bitlocker],假如具有内存镜像,也可将内存镜像添加至软件以增速暗码的破解速率。用户可选择对否创建解密分区的镜像,假如勾选了此选项则会制造一个解密后的分区镜像。
(添加镜像)
2.2使用Hashcat
也可经过破解加密哈希值的办法对Bitlocker加密的暗码举行破解,十分实用于具有外部算力,但由于镜像涉密无法提供磁盘镜像的情况。可直接将加密哈希提取出来,然后交给算力公司举行破解,最初依据后果在当地举行解密。
这里以Hashcat为例,Hashcat是一款运转本人令行下的开源东西官方号称是全天下最快的破解软件。
(提取Bitlocker加密哈希)
将提取的加密哈希值经过使用Hashcat举行破解。起首运转hashcat.exe -h查察Bitlocker对应的代码以及hashcat的使用办法,关于hashcat的具体使用办法可拜候官网。
(hashcat破解后果)
3. 从内存中提取密钥
现场取证中,假如目标电脑处于开机形态且允许进入桌面,那么易失性数据一定要优先安稳,由于内存中会包含多量有代价的数据,好比软件运转情况,用户的使用纪录以及种种暗码/密钥信息。获取内存镜像的软件东西有很多,好比dumpit,MAGNET RAMCAPTURE等。
可以通太过析内存镜像实验寻觅Bitlocker的密钥数据。Elcomsoft Forensic Disk Decryptor是一款商业软件,支持导出内存镜像中的种种密钥数据,固然也可以直接举行破解职责。
(主界面)
(后果)
4. 从TPM中获取密钥
·DMA(直接内存拜候武艺)
关于使用TPM芯片保护的Bitlocker加密,可实验使用DMA武艺使用PCIExpress、M.2A E Key、MiniPCIe、NVMe、雷电3等接口举行联机,从TPM芯片中获取密钥信息。TPM到场的Bitlocker加密,可以最简便地域解为TPM用于存储密钥,而每次体系开时机将密钥信息开释到内存,而经过使用DMA武艺实验从内存中寻觅密钥。
(DMA打击表现图)
·嗅探LPC总线
关于无法使用DMA打击,大概TPM不会主动解密的情况下,可以使用嗅探LPC总线的办法。在主板上找到TPM芯片,然后举行“飞线”,使用逻辑分析仪来截取密钥的信号。小编未做具体测试,不做过多先容。
(图片泉源于网络)
(图片泉源于网络)
Bitlocker加密取证注意事项
很多观察职员喜好使用外部启动的办法进入到取证体系举行证据安稳,大概在证据安稳历程中必要对BIOS举行设置的变动。那么但是关于现场取证而言相似如此的利用好坏常伤害的,很有约莫会触发Bitlocker的保护机制,最直观的体现就是对BIOS中一些宁静项举行变动后再次重启电脑会要求输入Bitlocker的规复密钥才可引导启动体系。
(输入Bitlocker规复密钥)
那么此时观察员在未知规复密钥的情况下是无法引导并进入利用体系,关于现场密取而言显现这种情况是很难搞的。不外经过实践测试发觉有些电脑可以按ESC跳过该加密卷然后电脑进入到高等启动选项,电脑重启后不再要求验证规复密钥直接进入体系。但现在小编还没有总结出纪律。
以是关于现场取证尽力做到:
·尽力不修正BIOS/UEFI的设置
·Secureboot选项审慎利用
·TPM宁静芯片的设置审慎利用
别的微软官方提供了文档,具体地分析白哪些情况/利用在体系启动时会触发Bitlocker宁静机制要求验证规复密钥,也在此阅读:
https://learn.microsoft.com/zh-cn/windows/security/information-protection/bitlocker/bitlocker-recovery-guide-plan。