BitLocker是微软Windows自带的用于加密磁盘分卷的技术。

通常,解开后的加密卷通过Windows自带的命令工具“manage-bde”可以查看其恢复密钥串,如下图所示:

如图,这里的数字密码下面的一长串字符串即是下面要提取恢复密钥。

在计算机取证界,经常遇到嫌疑人的目标电脑的磁盘是经过BitLocker加密的,此时通常的做法是通过某种手段(WinPmem、DumpIt、DMA PCILeech,ColdBoot等)取得目标机内存镜像,同时对目标机的磁盘做一个磁盘镜像(WinFE,WinHex,FTKImage等)。

而后,对获取的内存镜像分析(MemProcFS、Volatility等工具)取得BitLocker的VMK密钥,然后通过VMK密钥解密目标磁盘镜像(取证大师等工具),进而获取磁盘中的文件。

这里讲的是通过VMK密钥 + 加密磁盘镜像获取明文恢复密钥串的方法,该方法国外的工具有Elcomsoft、Passware Kit等。

(文字的东西不想多说了,直接上代码,卷起来!)

关键参考代码如下:

//
// @Noema 2021-08-27
// 以下提取恢复密钥明文的方法通过逆向fveapi.dll得来
// 重点关注fveapi.dll中的CFveApiBase::GetAuthMethodInformation函

计算机内存取证之BitLocker恢复密钥提取还原相关推荐

  1. 磁盘符上有个锁的标志,bitlocker恢复密钥 解决办法

    提示:最近的问题真是千奇百怪,朋友咨询我,磁盘符上带有一个锁是什么意思?当然了,我也是第一次见这种情况,毕竟我很菜~ 文章目录 前言 一.磁盘被锁 需要密钥 1.1具体操作 二.磁盘打开 但锁标识还是 ...

  2. 在 Windows 10 中查找 BitLocker 恢复密钥

    进入登录到你的 microsoft 帐户找恢复密钥 如果你有一台支持自动设备加密的现代设备,则恢复密钥最有可能在你的 Microsoft 帐户中. 有关详细信息,请参阅 Windows 10 中的设备 ...

  3. Bitlocker恢复密钥验证方法

    在重装系统或者更新系统的时候可能会出现这个情况或者你的组织可能设有密码安全策略,在尝试登录失败超过一定次数之后便锁定,再或者可能是你的电脑遇到硬件故障.意外的配置更改或其他安全事件,需要恢复密钥可帮助 ...

  4. 取消计算机系统密钥,BitLocker驱动器被加密怎么恢复密钥 忘了密码取消删除方法...

    由于最近电脑蓝屏,我需要U盘制作启动盘,结果U盘插入到我电脑,我发现此U盘被我以前用BitLocker加密过了,BitLocker密码我也忘记了.我只好去我以前旧电脑去找"BitLocker ...

  5. 计算机硬盘密码解不开,Win10打不开磁盘显示需要输入48位恢复密钥以解锁此驱动器怎么办...

    近日有用户在升级win10系统的时候,注册微软账户登录后就会自动开启了磁盘bitlocker加密功能,如果使用系统自带的恢复之后,就会默认的对其它分区进行加密,所以当我们打开磁盘的时候会显示需要输入4 ...

  6. win10系统开机总是弹出BitLocker输入恢复密钥如何解决

    最近有win10系统用户到本站咨询这样一个问题,就是每次开机的时候,总是会弹出BitLocker输入恢复密钥窗口,这是怎么回事呢,针对这个问题,小编这就给大家讲解一下win10系统开机总是弹出BitL ...

  7. linux密钥恢复密码,忘记BitLocker密码怎么办?使用恢复密钥解锁磁盘驱动器

    艾薇百科之前已经分享过BitLocker加密磁盘的详细教程,这虽然安全了,但如果日后万一忘记了BitLocker密码,该怎么办呢?所以这也是为什么在启用BitLocker加密过程中强制让你备份恢复密钥 ...

  8. MISC之内存取证_Kali环境下使用volatility

    文章目录 前言 一.安装volatility及相关依赖文件 二.例题 1.memory.raw 2.Cookie.raw 3.forensics.raw 4.disk.img 4.memory_5 前 ...

  9. 瞎弄电脑BIOS设置,再次开机进入BitLocker恢复,恰巧微软账户啥密钥ID都有,就是和自己这个密钥对不上,然后如何将自己密钥保存到微软账户

    系列文章目录 1.元件基础 2.电路设计 3.PCB设计 4.元件焊接 5.板子调试 6.程序设计 7.算法学习 8.编写exe 9.检测标准 10.项目举例 文章目录 前言 一.问题描述 二.解决步 ...

最新文章

  1. 设置子元素在主轴(横轴)方向上的对齐方式为容器的开头_今日推送 CSS Flexbox布局(上)...
  2. Native与H5交互的一些解决方法
  3. LazyT 提供对延迟初始化的支持
  4. 学习ASP.NET Core,你必须知道“中间件”是什么?中间件如何注册?请求处理管道是如何通过中间件构建的?
  5. html滚动字幕如何向下移动,按向下键的同时,菜单选项向下移动,浏览器右边的滚动条也跟着跑怎么办。这个bug怎么改...
  6. mysql用正则表达式定位符_MYSQL使用正则表达式过滤数据
  7. USBCAN 、便携式 CAN 分析仪 、CAN卡
  8. 全志A33_Vstar
  9. mac转换pin计算机,用MAC地址转换PIN码.docx
  10. Linux 修改密码出现“鉴定令牌操作错误”
  11. 线性代数【18】点积和对偶性
  12. 学习篇之数据分析库pandas
  13. Hadoop之——伪分布安装
  14. windows 挂载百度网盘/阿里云盘等(网盘变本地硬盘) alist + raidrive
  15. linux防火墙ip黑名单,【转】Linux防火墙(iptables)之黑名单
  16. 计算机专业论文谢辞,计算机专业论文致谢信.docx
  17. 两种方法简单实现网站随机语录的显示
  18. LeetCode340:至多包含 K 个不同字符的最长子串(python)
  19. 第14讲:Python使用加法和乘法运算符操作列表
  20. C++ 从堆区申请空间 new和delete

热门文章

  1. 弹性光网络(Elastic Optical Networks)概述
  2. matlab万有引力模拟,Unity模拟万有引力
  3. 用python 和pyqt5写俄罗斯方块游戏
  4. 外贸企业邮箱哪个好用?外贸企业邮箱如何购买?怎么注册外贸企业邮箱?
  5. Latex编辑论文入门经验总结(3)--IEEE access的latex排版注意点汇总
  6. Linux入门真经-032文件系统的创建与管理
  7. Unity塔防游戏的制作与实现
  8. 用python画奔驰的标志_如何在CATIA中快速画一个奔驰车标
  9. 【论文阅读+】SCRDet 论文翻译学习
  10. 分区表损坏引发的血案