看到了一篇 bitlocker 被警方解密的文章

好家伙

tpm 加密的安全性是有条件的。bios 必须设置密码，secureboot 必须打开，iommu 必须打开。如果 biso 设置有变更（比如清除密码），或者 pcie 硬件有变更（比如 pcie 设备的 oprom 可以藏代码），或者启动引导有变更（比如 patch 过的 Windowsloader ），tpm 的 pcr 签名都会改变，就不自动解密了。 比如我电脑加增加或者移除一个 u.2 的 ssd ，开机就要重新输入超长解密密钥，最后解决方法是，拔掉，开机后再动态插上去。

这就是为啥 Win11 要 TPM 2.0 了。

现在哪有纯解密的，都是找漏洞

在天朝的局子里你还有不交出密码的选项？

https://imgs.xkcd.com/comics/security.png

嗨，我是癫佬。
这是我的取证神器，CSIR 是我的秘密武器。
取证 5 分钟，镜像 800G 。
嘘，不要告诉别人哦~

0..单独数据硬盘+VeraCrypt 之类的开源三方加密
1.不管主力系统是 linux 还是 windows ，如果会相应的驱动开发，可以自己再套一层私有透明加密，虽然不能提高密码学安全性，但能提高逆向难度。
2.现在硬件性能这么好，虚拟机放加密硬盘里再启动 :)

对了，Windows 还有个内存保护开关，就是很多人吐槽开启了会影响 vmware 使用的那个。但是那个也一定要打开。 [tpm2.0] [bios 密码] [secureboot] [bios 里 vt-d 与 iommu] [Windows 里内存保护] 同时开启，才能保证安全性。

@Tyuans #20 bitlocker 加密之后 PE 看磁盘是锁上的，无法读硬盘也就没办法修改 Windows 密码

@Tyuans #17 应该告诉领导国产系统密码也是随便改😅

@rockyzhang

“通过将内置的无线网卡替换为专用卡，使用专用软件进行内存扫描”

应该是的，通过特殊硬件插入 mini pcie 接口，然后通过 pcie 通道读取内存。

我怎么看着像编程随想的事件

@Biggoldfish 都你这么说，取证公司也别做生意了…

BitLocker 如果没使用外部密码，又没开启 Windows 的内核隔离，是有安全漏洞的。微软之前自己就出过一个演示视频，利用雷电接口的 DMA 功能就能绕过锁屏密码，因为 BitLocker 没有外部密码自动解锁，就等于被破解了。
总而言之这个问题根本原因是微软没有像 Android iOS macOS 那样，把 BitLocker 解锁密码和用户密码绑定。一个系统不依赖外部密码，而是使用内部密码自解锁的话是不能保证安全的。

@Biggoldfish #25 看你所在的地方了。要是当地案子多，不缺你这一个 KPI ，那应该懒得给你上太多手段

绕过 Windows PIN 码之后就完蛋了，跟 BitLocker 加密没任何关系了

说了一堆，还是得用 mac 才行

@ysc3839 好奇一个问题…

我看我的电脑，dell 4230 ，雷电安全性默认开启的。

但是是不是 pcie 的默认安全性比雷电差。

我看类似的事，都是从网卡下手的，或者说信任了 intel 网卡，是不是嗅探设备模拟成 intel 网卡就行了。

有点意思