其他
技术分享——记一次bitlocker加密案例
事件背景:
客户有Bitlocker设备需要解密/解锁分析,解锁失败;启用cmd 操作,上位机提示调用成功,现场调用失败。目标设备经过专业人员检测后,确认信息如下,型号:神舟战神,内置硬盘3块,分别为256GB、1TB、2TB.所有硬盘被使用Bitlocker 加密,无法访问计算机明文数据,无法分析。到达目的地后,赶紧开机联网,远程连接到现场的上位机(目标机器是断网状态)。启用解锁,软件提示失败,分析:
1、可能是遇到了那个不支持的小版本(后续的分析证实了这点)。
因为在异地,无法直接操作目标计算机,让工程师对所做的操作过程做了录像,分析了2次录像后,发现cmd调用失败其实是Bonne操作不熟练导致的。
“开天套件“在设计之初有考虑过远程支持的应用场景。分析现场环境,本次支持做如下安排:
1、使用开天直接提取目标计算机内存镜像
2、在线镜像目标计算机全盘镜像
3、考虑现场解锁失败,cmd也无法启用,选择使用内核代理,进程插入的方式异机调用。
在上位机直接调度目标计算机的模块,具体技术方案使用udp-up方案。远程登录上位机。
第三阶段: 元信息获取
2、异机调用目标计算机
3、异机启动第三方镜像工具对目标计算器磁盘制作本地磁盘镜像。
4、从目标计算机获得的数据文件(磁盘镜像、内存镜像)。
4、使用win通用密钥获得 R-key,进入登录界面
5、进行中(过程略过)
6、输入完成后空密码登录系统
7、进入桌面
8、备份密钥
完成客户需求,后续分析取证由客户自己进行。开天系统已经升级支持到最新版的win系统版本支持。欢迎前来咨询开天系统。
产品咨询
技术工程师
贺 佳:13908073212
王高阳:18513400125
微信助手
关于我们
北京天宇宁达科技有限公司创建于 2016 年,前身为 2009 年的北京天宇宁科技有限公司。历经十余年的发展与积累,天宇宁达已成为国内电子数据取证行业卓越领先的产品与解决方案供应商,同时也是国内知名的电子数据专业取证服务与培训机构。