近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了BitLocker加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。经过预检发现,硬盘系统分区有Bitlocker加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。我司技术人员先使用公司自主研发的免拆机取证设备-取证前锋对该电脑进行了预检,经过检查发现,该电脑内置了TPM加密芯片,系统分区已使用BitLocker加密。通过镜像工具进行只读模式挂载,发现该加密分区并非是默认基于TPM的Bitlocker加密(即微软定义的“设备加密”),无法直接解密,该机器疑似设置了PIN码。考虑到现场取证流程要符合司法规范,我司技术人员通过嫌疑人笔记本电脑的两个USB接口与免拆机取证设备进行快速镜像,512GB容量硬盘耗时16分钟,速度比传统硬盘拷贝机快不少。![]()
![]()
完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器CSIR-5000(临机绕密取证设备)对启用TPM+PIN保护的BitLocker加密的Windows 10系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过Windows 10系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该BitLocker加密磁盘的48位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。![]()
![]()
使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的48位BitLocker恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了1个iPhone手机备份及1个iPad备份、两个iOS设备的Lockdown密钥数据,并解析出了部分有价值的数据。我司圆满完成了本次疑难案件的技术支援,我司的特色取证设备和技术团队的实战能力都得到了客户的好评,具备实战能力的“神探学院“也一定可以成为国内“精英神探“的摇篮。本案件技术支持过程中使用了我司的两款设备,有效解决了现场取证遇到的硬盘不易拆卸、基于TPM芯片的BitLocker加密磁盘的解密问题。TPM加密 | 设备型号 |
| TPM(设备加密) | 免拆机高速镜像取证设备(取证前锋) |
| TPM+PIN | 临机绕密取证设备(CSIR-5000) |
| TPM+微软账户 | 临机绕密取证设备(CSIR-5000) |
苹果T2加密 | 设备型号 |
T2机型苹果电脑的数据获取 (无需密码) | 免拆机高速镜像取证设备(取证前锋) |
![]()
取证前锋(CSIR-3000系列) | ![]()
临机绕密取证(CSIR-5000) |
• 国内首创雷电3(40Gbps)+USB-C(10Gbps)的多通道免拆机高速取证设备;实测镜像速度高达160GB/分钟; • 国内首创支持对TPM加密的BitLocker磁盘进行全盘解密镜像制作,支持镜像文件直接动态仿真,不受原TPM芯片硬件的影响; • 国内首创支持免拆机动态仿真取证、不留痕、不篡改目标电脑数据,符合司法规范。 | • 支持Windows XP~Windows 10的临机绕密取证,直接绕过锁屏密码; • 突破TPM、TPM+PIN、TPM+微软账户等安全机制保护; • 可绕密后直接获取BitLocker恢复密钥,有效解密BitLocker加密的磁盘分区。 |
![]()
文章来源: https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA
如有侵权请联系:admin#unsafe.sh