技术分享——记一次bitlocker加密案例
2023-5-29 17:21:46 Author: 网络安全与取证研究(查看原文) 阅读量:17 收藏

事件背景:

客户有Bitlocker设备需要解密/解锁分析,解锁失败;启用cmd 操作,上位机提示调用成功,现场调用失败。目标设备经过专业人员检测后,确认信息如下,型号:神舟战神,内置硬盘3块,分别为256GB、1TB、2TB.所有硬盘被使用Bitlocker 加密,无法访问计算机明文数据,无法分析。

第一阶段:当地技术支持出现场

到达目的地后,赶紧开机联网,远程连接到现场的上位机(目标机器是断网状态)。启用解锁,软件提示失败,分析:

1、可能是遇到了那个不支持的小版本(后续的分析证实了这点)。

2、现场人员操作不熟练
解决方案:
1、如果是版本不支持,使用通用密钥解决登录问题,同时做好特征提取。
2、如果现场人员操作不熟练,远程连接上位机,远程支持解决。

因为在异地,无法直接操作目标计算机,让工程师对所做的操作过程做了录像,分析了2次录像后,发现cmd调用失败其实是Bonne操作不熟练导致的。

第二阶段:远程操作上位机

“开天套件“在设计之初有考虑过远程支持的应用场景。分析现场环境,本次支持做如下安排:

1、使用开天直接提取目标计算机内存镜像

2、在线镜像目标计算机全盘镜像

3、考虑现场解锁失败,cmd也无法启用,选择使用内核代理,进程插入的方式异机调用。

在上位机直接调度目标计算机的模块,具体技术方案使用udp-up方案。远程登录上位机。

第三阶段: 元信息获取

1、 使用开天系统直接对目标计算机进行内存镜像。

2、异机调用目标计算机

3、异机启动第三方镜像工具对目标计算器磁盘制作本地磁盘镜像。

4、从目标计算机获得的数据文件(磁盘镜像、内存镜像)。

第四阶段:获得48位恢复key 
1、使用第三方工具获得R-KEY 
2、使用Elcomsoft 获得 R-KEY

3、使用Passware Kit 获得 R-key

4、使用win通用密钥获得 R-key,进入登录界面

5、进行中(过程略过)

6、输入完成后空密码登录系统

7、进入桌面

8、备份密钥

完成客户需求,后续分析取证由客户自己进行。开天系统已经升级支持到最新版的win系统版本支持。欢迎前来咨询开天系统。

产品咨询

技术工程师

贺   佳:13908073212

王高阳:18513400125

微信助手

 

关于恶意代码的那些事(一)

关于恶意代码的那些事(二)

技术分享——MySQL取证

技术分享——从网络发送EFS加密文件安全吗?

关于我们

北京天宇宁达科技有限公司创建于 2016 年,前身为 2009 年的北京天宇宁科技有限公司。历经十余年的发展与积累,天宇宁达已成为国内电子数据取证行业卓越领先的产品与解决方案供应商,同时也是国内知名的电子数据专业取证服务与培训机构。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247487066&idx=1&sn=57c89c6297bb41e0744a2332b395fede&chksm=cf3e2e6af849a77c4d940b0f51d69b29b846fb6d4dfff4545815f6abd3f339a5ce4b836fa1eb#rd
如有侵权请联系:admin#unsafe.sh