bitlocker加密怎么解除(破解Bitlocker加密方法)
BitLocker加密是Windows的一种数据保护功能,主要用于解决由于计算机设备的物理丢失导致的数据失窃或恶意泄漏,能够同时支持FAT和NTFS两种格式,可以加密电脑的整个系统分区,也可以加密可移动的便携存储设备,如U盘和移动硬盘等。
BitLocker使用AES(高级加密标准/Advanced Encryption Standard)128位或256位的加密算法进行加密,其加密的安全可靠性得到了保证,通常情况下,只要密码有足够强度,这种加密就很难被破解。因此,当取证中遇到涉案的电脑、U盘等被Bitlocker加密的情况,破解加密获取涉案数据就变得尤为重要。
一、解密思路
BitLocker加密的过程
(1)对一个磁盘进行BitLocker加密的方法很简单,打开资源管理器,在想要加密的磁盘分区上点击右键,选择“启用BitLocker”即可。(在“控制面板”-“系统和安全”-“BitLocker驱动器加密”里也可以启用和管理加密。)
(2)点击“启用BitLocker”之后,在新弹出的窗口中设置加密驱动器密码,输入完成后点“下一步”,然后选择保存恢复密钥的位置。
(3)一般来说,恢复密钥存放在USB闪存驱动器或打印出来安全系数更高,因为这样操作的话,加密驱动器与恢复密钥分离保管,安全性更好。不过实际情况中,有些时候为了省事,会将恢复密钥保存在硬盘中,这也给了我们解密的可能性。
(4)然后BitLocker就开始对整个驱动器进行加密,BitLocker对于驱动器的加密解密耗时较长,用户需要等待相当长的时间。加密完成之后,可以看到原先的磁盘图标上多了一把锁,此时表示驱动器已经加密完成。
解密思路分析
思路1:通过密码查找解密
从所有涉案介质中获取与密码相关的数据,将这些数据整理成字典后,再通过相应的解密工具解密或暴力破解,因为此方法存在很大的不确定性,所以视情况选择。
思路2:通过恢复密钥解密
◆通过BitLocker加密的过程,我们可以知道在加密设置时会产生恢复密钥,通常大家会以“保存到文件”的方式存放恢复密钥(一般不会选择注册Microsoft账户,而打印又容易丢失,所以更多时候选择保存到文件),这种方式恢复密钥会以TXT文件的方式存放到存储介质中;
◆TXT文本数据在介质中存放时,底层是以明文的方式存放的,就算是TXT被删除,只要底层数据没有被覆盖,我们就可以通过底层关键字查找、正则匹配的方式找到恢复密钥进行解密。
思路3:其它
◆在一些案件中,通过特定的涉案介质如:加密的U盘或移动硬盘,可以在相关的电脑上启动自动解锁功能,我们只需将涉案介质接到相应的电脑上即可解锁加密介质;
◆从解密过Bitlocker加密的电脑内存镜像中提取BitLocker密钥,此方法不做描述,可自行查找相应资料;
◆如有其它方法,欢迎留言探讨。
二、 案例实操
现有一涉案电脑分区被BitLocker加密,需要解密分区获取涉案数据,已经完成涉案电脑硬盘镜像。
检材:001.DD
操作软件:winhex、DRS6800数据恢复系统
解密思路:通过恢复密钥解密
1、获取镜像文件,将其加载到winhex进行全盘检索关键词“恢复密钥”(也可以检索密钥文本中的其他关键词或对密钥的规则进行正则匹配检索),步骤如下:
步骤一:为了提高搜索精准度,将采取十六进制搜索,把“恢复密钥”写入到新的TXT中,并将其另存为UTF-16 LE编码格式的TXT文本,重庆技校网也可以通过与涉案电脑对应的操作系统版本生成一个恢复密钥的TXT文件(通常保存的密钥TXT文件会以UTF-16 LE编码格式存放);
步骤二:将保存有“恢复密钥”的txt文本通过winhex打开,并复制“恢复密钥”对应的十六机制数;
步骤三:通过winhex打开001.DD,并将镜像转换为磁盘;
步骤四: 通过已经复制的“恢复密钥”对应的十六机制数,对打开的001.DD镜像文件进行全盘检索,找到与恢复密钥相关的记录,进行下一步恢复密钥解密验证。
2、将前面步骤找到的恢复密钥进行解密验证,进入DRS6800数据恢复系统数据恢复模块,加载001.DD镜像,对镜像中加密分区右键,选择解锁Bitlocker,输入恢复密钥解密后,选择快速扫描即可获取加密分区数据。
三、 总结
①恢复密钥文件可能会在相关的涉案介质存放,可结合USB插拔记录等痕迹快速找到相关的介质;
②Bitlocker因操作系统的版本不同可能存在兼容性问题,如果通过Windows系统自带的Bitlocker解密时,需注意选择与涉案介质相同的操作系统版本;
③对于已经处于解密状态下的分区或USB介质,需要在解密状态下尽快完成证据固定,可以通过winhex直接打开解密分区的方式固定分区镜像。要注意的是,如果通过打开磁盘再打开分区的方式固定,分区依然会是加密状态;
④对于已经处于解密状态下的分区或USB介质,为了防止突发情况造成介质又处于加密状态,可以在解密状态下右键管理BitLocker操作备份恢复密钥文件。
四、 案例练习
请按恢复密钥的方式解密镜像中的加密分区,并给出加密分区中去重后的word文档数量。
bitlocker加密怎么解除(破解Bitlocker加密方法)相关推荐
- python爬虫处理js混淆加密_Python爬虫—破解JS加密的Cookie
專 欄 ❈Jerry,Python中文社区专栏作者. blog:https://my.oschina.net/jhao104/blog github:https://github.com/jhao10 ...
- win11硬盘被bitlocker加密了怎么破解?
由于有些型号的Win11笔记本硬盘默认启动了Bitlocker加密,当系统进不了之后,电脑里又有些重要资料,进PE维护系统后发现每个盘符上都有一把锁,双击后却打不开,也不是弹出需要输入Bitlocke ...
- BitLocker加密怎么解除?
BitLocker加密怎么解除?现在许多厂商在自己出场的电脑硬盘中都会添加BitLocker锁,而这个锁对于普通用户并没有什么用,还会影响各种设置,今天小编就带着大家一起来看看怎么设置吧! 操作方法: ...
- Windows上的bitlocker加密怎么解除?
BitLocker 加密將保證您的磁碟機或分區處於安全狀態.但是,如果您不再需要 BitLocker 加密,您可以在Windows 10上輕鬆解除BitLocker 加密.在這裡,我們將向您展示在Wi ...
- 带bitlocker解密的pe_Win10使用BitLocker加密U盘|Win10自带BitLocker加密U盘
使用Win10系统的用户,需要给普通的U盘加密,但是不知道使用什么方法加密比较好.加密方法千万条,简单.快速.安全.易用第一条.所以这篇文章PE吧要给大家介绍的是Win10自带BitLocker加密U ...
- 破解加密的PDF文件有什么方法?
加密的PDF文件可以考虑两种加密情况,一种是加密打开密码,另一种是加密编辑限制. 两种加密方式在破解的时候式不一样的,打开密码只能通过破解软件找到正确的密码才能打开,编辑限制加密可以直接通过软件把限制 ...
- bitlocker加密好慢_如何加密磁盘?(适用于全平台)
如何加密磁盘(适用于全平台) 加密效果 加密完成后的磁盘(硬盘)在插入任何系统之后均为"未挂载"状态,只有通过软件进行解密之后才会挂载成功,并可以显示使用.软件同时支持Window ...
- bitlocker加密时间_BitLocker To Go加密Windows 7中的便携式闪存驱动器
bitlocker加密时间 The BitLocker feature was introduced in Windows Vista and allowed you to encrypt the c ...
- 破解Zip加密文件常用的几种方法
前言 在互联网的浪潮中,大家也许碰到过这种情况: 从网络上下载了一个zip文件,最后却发现它是用密码保护的,或者自己用密码加密了一个很重要zip文件,但是一段时间后忘记了密码,无法打开.这个时候,我们 ...
- 文华财经指标公式大全,通达信指标加密破解DLL加密防破解技术方法
STICKLINE(做多 AND C<O,C,O,0.3,0),COLORFF00FF; STICKLINE(做多 AND C>=O,C,O,3,1),COLOR0000FF; {ST ...
最新文章
- 评论:Arun Gupta撰写的“ Java EE 6 Pocket Guide”
- linux系统下PHP无法调用oracle数据库的解决方法
- map与weakmap,ES6 Map和WeakMap有什么区别?
- java default value_java-如何为@RequestParam的defaultValue提供表达式
- ie6,ie7兼容性总结
- 隐藏网络计算机,如何在网络中隐藏自己的计算机名称
- CAD建模软件:BricsCAD 22 for Mac
- paip. 定时 关机 休眠 的总结
- 计算机管理器鼠标不见了怎么办,电脑的鼠标光标消失了
- 垃圾工作还不如伺候一个渣男!!!
- 广告行业eCPM概念
- 高德定位慢 - iOS
- 啊哈C——学习3.4一起来找茬
- 一致性hash和虚拟节点
- 实施工程师2022年面试题
- 腾讯ui测试机实时预览软件,腾讯ISUX终端设备实时预览Photoshop的设计稿的神器Ps Play...
- 淘宝天猫数据分析工具推荐(竞品数据监控查询)
- BUUCTF-MISC-假如给我三天光明~九连环
- 计算机毕业设计(附源码)python租房管理信息系统
- jpg图片转ico图片格式