标签：取证 加密 解锁 解密 密钥 Bitlocker 驱动器

在取证工作中Bitlocker加密对于调查人员早已司空见惯了。2020年1月微软正式终止了对Windows 7的安全更新及系统支持，这也意味着属于它的时代已经结束了。而对于Windows 10以及Windows 11版本的操作系统，甚至在首次激活和使用系统时，在默认情况下就会对磁盘驱动器进行加密。

Windows版本和需要要求

根据微软官方提供的信息，Windows专业版/企业版/教育版的操作系统支持开启和使用Bitlocker加密。然而在实际取证工作中调查员可能会发现，在分析家庭版操作系统时，其硬盘底层也是处于Bitlocker加密状态的，但微软官方明确地指出家庭版的操作系统是不支持Bitlocker加密保护的。

 

（Bitlocker保护版本要求）

对于Windows家庭版的“Bitlocker保护”准确来说应该称之为设备加密。设备加密同样是一项Windows保护措施，为磁盘提供一种自动启用Bitlocker加密的简单方法。与标准Bitlocker不同，设备加密会自动启用且在Windows安装激活过程中进行初始化，这种状态相当于Bitlocker的挂起状态。

如果要手动管理设备加密状态，可在[设置]中可找到设备加密的设置界面，Windows 11家庭版系统下，设备加密选项在[设置]-[隐私和安全性]-[设备加密]。

 

（设备加密）

同样也可在[控制面板]-[设备加密]进行密钥的备份。设备加密在对于符合设备加密条件的设备上自动打开Bitlocker，且恢复密钥会自动上传到微软账户。

 

（设备加密）

 

（备份密钥）

如何开启Bitlocker

Bitlocker加密除了可以保护本地分区外，也可对外置存储设备进行Bitlocker加密（Bitlocker To Go），比如对移动硬盘、U盘进行加密以保护其中的数据（Windows家庭版不支持）。可在[控制面板]-[Bitlocker驱动器加密]-[启用Bitlocker]来开启Bitlocker保护。

 

（开启Bitlocker保护）

对于手动开启Bitlocker加密，有三种解锁方式可选，分别是使用密码解锁、使用智能卡解锁以及在此计算机上自动解锁，用户可选择一种或多种方式进行解锁。

 

（解锁方式）

选择使用密码解锁则每次挂载加密卷时会要求输入预设的密码才可解密；智能卡（需单独购买）解锁则需要确保插入智能卡才可解密被加密卷；此计算机上自动解锁是指被加密的驱动器被挂载到当前操作系统下则会自动进行解密，可通过manage-bde管理工具来查看Bitlocker保护类型。指令：manage-bde-status x: \\x表示盘符。当前C盘处于使用TPM保护状态。

 

（TPM，自动解密）

当前H盘的解锁方式仅为此计算机下自动解密，且未设置使用密码解锁。

 

（此计算机下自动解密）

当前G盘仅设置了使用密码保护驱动器，未开启此计算机下自动解密驱动器。

 

（密码保护）

当前E盘可知，开启了使用密码解锁驱动器也设置了此计算机下自动解锁驱动器。

 

（密码+自动解密）

另外对于具有TPM（可信赖平台模块）安全芯片的设备，不可对OS卷（默认C盘）单独设置Bitlocker密码，除非不具有/禁用TPM情况下可单独设置。那么OS卷设置了Bitlocker密码后每次开机会要求验证密码才可解密OS卷并引导操作系统，如图所示。

 

（OS卷单独设置Bitlocker密码）

Bitlocker挂起状态

在[控制面板]中Bitlocker驱动器加密状态显示为“Bitlocker正在等待激活”可理解为此时驱动器处于Bitlocker挂起状态。当前状态下驱动器已经被加密，但恢复密钥却是以纯文本形式存储。

以Windows 11为例，首次激活使用时如果以本地账户登录的方式激活系统则可能会出现Bitlocker挂起状态，且开启设备加密。只有当登录微软账户以后则会自动激活Bitlocker完整保护，且恢复密钥会被自动上传至微软账户进行保存。 

 

（Bitlocker等待激活）

此状态下，在[磁盘管理器]中同样会显示驱动器被Bitlocker加密保护，另外通过XWF查看其底层数据结构，同样会显示为加密状态。

 

（磁盘管理器中的状态）

如果设备始终处于这种状态下，那么调查员对其进行物理镜像的获取后，在进行数据分析时也许会发现虽然系统下显示驱动器开启了Bitlocker加密，但却可以解析到分区结构和明文的数据内容。

 

（Bitlocker挂起状态的硬盘被挂载）

Bitlocker加密后的表现

判断是否开启了Bitlocker加密最直观简单的办法是在[计算机]中查看各卷的标识，如图可以看出来，当前系统下挂载了四个卷。其中C盘，D盘处于Bitlocker保护状态，因为可以看到有一把锁的标志；E和F未开启Bitlocker保护。 

 

（计算机）

被Bitlocker保护的驱动器，其DBR特征非常明显，通过XWF可见标志头位“FVE-FS”。

 

 （Bitlocker保护卷的DBR）

 

（未开启Bitlocker保护卷的DBR）

Bitlocker加密的处理

1. 开机状态

在数据固定时如果允许登入操作系统，对于启用Bitlocker保护的硬盘在进行证据固定时不可做全盘镜像，因为做下来的磁盘镜像仍为加密状态。可以使用在线取证软件或镜像软件对各分区制作逻辑镜像。

如下图，在案件中以物理驱动器的方式将整块硬盘添加到案件中，可以看到当前硬盘只有一个分区，且处于Bitlocker加密状态

 

（物理驱动器）

同样的硬盘，这次以添加逻辑驱动器的形式将分区添加到案件中，如下图所示，不难看出添加逻辑驱动器是可以解析出完整的分区结构的。所以对于存在Bitlocker保护卷的硬盘制作磁盘镜像是无法直接解密的，除非已知密码或恢复密钥。

 

（逻辑分区）

在系统下也可使用manage-bde将加密卷的恢复密钥读取出来。指令：manage-bde -protectors -get x: \\x表示盘符

 

（读取密钥）

2. 暴力破解

在无法掌握密码和恢复密钥的情况下，必要时只能选择暴力破解的方式进行解密，进行暴力破解时可选择商业软件也可使用开源软件，具体暴力破解的时间取决于密码强度及算力。

 

2.1使用Passware Kit Forensic

Passware Kit Forensic是一款密码破解的商业软件，破解Bitlocker加密需要添加被加密卷的镜像文件。

 

 （主界面）

[Full Disk Encryption]-[Bitlocker]，如果具有内存镜像，也可将内存镜像添加至软件以加快密码的破解速度。用户可选择是否创建解密分区的镜像，如果勾选了此选项则会制作一个解密后的分区镜像。

 

（添加镜像）

 

2.2使用Hashcat

也可通过破解加密哈希值的方式对Bitlocker加密的密码进行破解，非常适用于具有外部算力，但由于镜像涉密无法提供磁盘镜像的情况。可直接将加密哈希提取出来，然后交给算力公司进行破解，最后依据结果在本地进行解密。

这里以Hashcat为例，Hashcat是一款运行在命令行下的开源工具官方号称是全世界最快的破解软件。

 

 

（提取Bitlocker加密哈希）

将提取的加密哈希值通过使用Hashcat进行破解。首先运行hashcat.exe -h查看Bitlocker对应的代码以及hashcat的使用方法，关于hashcat的具体使用方法可访问官网。

 

（hashcat破解结果）

3. 从内存中提取密钥

现场取证中，如果对象电脑处于开机状态且允许进入桌面，那么易失性数据肯定要优先固定，因为内存中会包含大量有价值的数据，比如软件运行情况，用户的使用记录以及各种密码/密钥信息。获取内存镜像的软件工具有很多，比如dumpit，MAGNET RAMCAPTURE等。

可以通过分析内存镜像尝试寻找Bitlocker的密钥数据。Elcomsoft Forensic Disk Decryptor是一款商业软件，支持导出内存镜像中的各种密钥数据，当然也可以直接进行破解任务。 

 

（主界面） 

 

 

（结果）

4. 从TPM中获取密钥

·DMA（直接内存访问技术）

对于使用TPM芯片保护的Bitlocker加密，可尝试使用DMA技术利用PCIExpress、M.2A+E Key、MiniPCIe、NVMe、雷电3等接口进行联机，从TPM芯片中获取密钥信息。TPM参与的Bitlocker加密，可以最简单地理解为TPM用于存储密钥，而每次系统开机会将密钥信息释放到内存，而通过使用DMA技术尝试从内存中寻找密钥。

 

（DMA攻击示意图）

·嗅探LPC总线

对于无法使用DMA攻击，或者TPM不会自动解密的情况下，可以使用嗅探LPC总线的方式。在主板上找到TPM芯片，然后进行“飞线”，使用逻辑分析仪来截取密钥的信号。小编未做详细测试，不做过多介绍。

 

（图片来源于网络）

 

（图片来源于网络）

Bitlocker加密取证注意事项

很多调查人员喜欢使用外部启动的方式进入到取证系统进行证据固定，或者在证据固定过程中需要对BIOS进行设置的更改。那么其实对于现场取证而言类似这样的操作是十分危险的，很有可能会触发Bitlocker的保护机制，最直观的表现就是对BIOS中一些安全项进行更改后再次重启电脑会要求输入Bitlocker的恢复密钥才可引导启动系统。 

 

（输入Bitlocker恢复密钥）

那么此时调查员在未知恢复密钥的情况下是无法引导并进入操作系统，对于现场密取而言出现这种情况是很棘手的。不过通过实际测试发现有些电脑可以按ESC跳过该加密卷然后电脑进入到高级启动选项，电脑重启后不再要求验证恢复密钥直接进入系统。但目前小编还没有总结出规律。

所以对于现场取证尽量做到：

·尽量不修改BIOS/UEFI的设置

·Secureboot选项谨慎操作

·TPM安全芯片的设置谨慎操作

另外微软官方提供了文档，详细地说明了哪些情况/操作在系统启动时会触发Bitlocker安全机制要求验证恢复密钥，也在此阅读：https://learn.microsoft.com/zh-cn/windows/security/information-protection/bitlocker/bitlocker-recovery-guide-plan。 

 

（微软官方提供的文档）

文中如有错误，请予以指正。

 

标签：取证,加密,解锁,解密,密钥,Bitlocker,驱动器
From： https://www.cnblogs.com/ldsweely/p/18137655