看到了一篇 bitlocker 被警方解密的文章

2023-07-03 08:24:50 +08:00
 FutureApple

https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA

同样这家企业还提供 Mac 的 T2 芯片解密和备份解密。 现在破解加密都不是直接破解了,都是通过这种间接利用系统 bug 来破解的。

21422 次点击
所在节点    Windows
109 条回复
FutureApple
2023-07-03 08:31:38 +08:00
近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了 BitLocker 加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。

经过预检发现,硬盘系统分区有 Bitlocker 加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。

完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器 CSIR-5000 (临机绕密取证设备)对启用 TPM+PIN 保护的 BitLocker 加密的 Windows 10 系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该 BitLocker 加密磁盘的 48 位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。

使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的 48 位 BitLocker 恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了 1 个 iPhone 手机备份及 1 个 iPad 备份、两个 iOS 设备的 Lockdown 密钥数据,并解析出了部分有价值的数据。
recolic
2023-07-03 08:36:20 +08:00
我连夜换用 dm-crypt
mokiki
2023-07-03 08:41:23 +08:00
低情商:Bug
高情商:法制友好机制
xmumiffy
2023-07-03 08:42:09 +08:00
开机即解锁确实危险
czyhd
2023-07-03 08:43:23 +08:00
直接读内存?
dode
2023-07-03 08:43:30 +08:00
数据盘单独开加密,不开启自动解密
cherryas
2023-07-03 08:45:30 +08:00
不会真的有人觉得靠 windows 自带的加密就特别安全了吧.
ryd994
2023-07-03 08:47:51 +08:00
这个恐怕是启动盘没加密,然后又启用了自动解密(数据盘默认就是自动解密的)
只设置了登入密码,没设置 preboot 加密
解密之后内存里就有密钥数据了

如果是 preboot 密码,那不知道密码应该是无法打开 TPM 的(除非 TPM 有 bug )

另外,TPM intrusion detection 就是为了处理这种情况。如果有人开盖,TPM 自动上锁,需要 BIOS 管理员密码才能重置。
FutureApple
2023-07-03 08:50:04 +08:00
@ryd994 bitlocker 只有在启动盘设置了加密的情况下才能自动解密
rockyzhang
2023-07-03 08:50:39 +08:00
应该是通过 PCIe 进去的吧,通过 PCIe 去读写 memory, TPM 也放不了
xtreme1
2023-07-03 08:51:51 +08:00
这个每季度都能在 V2 看到一次..
spatxos
2023-07-03 08:56:18 +08:00
原来是卖设备的。。。。
ryd994
2023-07-03 08:56:52 +08:00
@FutureApple 启动盘分 preboot 加密和 boot 之后 pin 解密
boot 之后才用 pin 解密的话基本就等于没加密
我自用电脑就是 pin 解密,少输一次密码比较方便,没什么敏感内容

非 preboot 加密的主要意义是卖二手硬盘时只需要销毁密钥,有助于保护隐私。但是对于敏感数据来说是不够用的。

公司电脑就是有 preboot+intrusion detection ,一旦开盖电脑就作废,只能用于处理非敏感工作内容。我就见过有人电脑摔了一下,然后就被锁了。
ryd994
2023-07-03 09:00:36 +08:00
@rockyzhang TPM 确实防不了内存数据读取。但是核心问题是这个密钥在没有 TPM 密码的情况下就不应该出现在内存里。

注意“十多分钟内就成功绕过 Windows 10 系统的锁屏密码,随意输入一个密码进入系统”其实到这一步就已经不行了。后面用 pcie 卡读密钥只是为了方便后面的取证。

preboot 加密就是为了应对这个问题。
churchmice
2023-07-03 09:03:29 +08:00
@recolic 不好意思,你去搜一下 dm-crypt 锅更大
TOUJOURSER
2023-07-03 09:06:12 +08:00
有没有三天不登录自动销毁硬盘的工具
tbc3211
2023-07-03 09:07:13 +08:00
开源 pcileech 应用实践
luhe
2023-07-03 09:25:01 +08:00
所以 Mac T2 是怎么解密的
abc0123xyz
2023-07-03 09:27:03 +08:00
收藏了,研究刑法收入的时候用
Tyuans
2023-07-03 09:28:53 +08:00
@cherryas 前段时间甲方有个笔记本应该是原使用者走了,现在有新的使用者,但不知道密码。就找到我的项目经理,然后找到我,说重装系统也可以。我很烦,不想重装,甲方有负责装系统的部门,不找他们让我装,装坏了算谁的。我仔细问才告诉我是密码不知道,也不想去问。我直接拿我 u 盘里的 pe 把 win 密码删了。看完甲方和经理都震惊了,甲方领导还一个劲说太不安全了,难怪要搞国产系统什么的,我甚至怀疑他认为这个是美帝微软故意留得后门…

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/953530

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX