如何使用 u 重破解笔记密码
(u 深度破解计算机密码破解)
课前提要
BitLocker 加密是 Windows 数据保护功能主要用于解决计算机设备物理丢失造成的数据盗窃或恶意泄漏,可同时支持 FAT 和 NTFS 两种格式,可加密计算机的整个系统分区,也可加密 U 盘、移动硬盘等移动便携式存储设备。
BitLocker 使用 AES(高级加密标准 /Advanced Encryption Standard)加密算法为 128 或 256,保证了加密的安全性和可靠性。通常,只要密码有足够的强度,这种加密就很难破解。因此,当取证中遇到涉案电脑时,U 盘等被 Bitlocker 破解加密以获取涉案数据尤为重要。因此,当取证中遇到涉案电脑时,U 盘等被 Bitlocker 破解加密以获取涉案数据尤为重要。
上课前,先公布上一个问题的答案: 阵列块大小:32 扇区;循环方向: 右旋;同步模式: 同步;起始扇区:0 扇区
。如有疑问,请在文章底部留言。
一、解密思路
BitLocker 加密的过程
(1)
磁盘 BitLocker 加密的方法非常简单。打开资源管理器,单击要加密的磁盘分区 BitLocker”即可。(在控制面板 - 系统与安全 -BitLocker 加密也可驱动加密中使用和管理加密。)
(2)
点击“启用 BitLocker 在新弹出窗口中设置加密驱动密码,输入后点击下一步,然后选择保存和恢复密钥的位置。
(3)
一般来说,恢复密钥存储在 USB 闪存驱动器或打印出来的安全系数更高,因为在这种情况下,加密驱动器和恢复密钥分开保存,安全性更好。但在实践中,有时为了省事,恢复密钥会保存在硬盘中,这也给了我们解密的可能性。
(4)
然后 BitLocker 开始加密整个驱动器,BitLocker 用户需要等待相当长的时间来加密和解密驱动器。加密完成后,可以看到原磁盘图标上有一把锁,这意味着驱动器已经加密。
解密思路分析
思路 1: 通过密码搜索解密
从所有涉及的介质中获取与密码相关的数据,数据整理成字典,然后通过相应的解密工具进行解密或暴力破解。由于该方法存在很大的不确定性,因此根据情况进行选择。
思路 2: 通过恢复密钥解密
◆通过 BitLocker 在加密过程中,我们可以知道在加密设置过程中会产生恢复密钥常,恢复密钥将以保存到文件的方式存储(通常不会选择注册)Microsoft 而且打印容易丢失,所以更多时候选择保存文件 ),这样,密钥就会恢复 TXT 存储介质中存储文件的方式;◆TXT 文本数据存储在介质中时,底层以明文的形式存储,即使 TXT 删除后,只要底层数据没有被覆盖,我们就可以通过底层关键字搜索和正则匹配找到恢复密钥进行解密。
思路 3:其它
◆在某些情况下,自动解锁功能可以通过加密 U 盘或移动硬盘等特定介质在相关计算机上启动,我们只需将涉案介质连接到相应的计算机即可解锁加密介质;
◆从解密过 Bitlocker 提取加密计算机内存镜像 BitLocker 密钥,这种方法不描述,可以自找相应信息;◆如有其他方法,请留言讨论。
二、案例实操
涉案现有计算机分区 BitLocker 加密,需要解密分区获取涉案数据,已完成涉案计算机硬盘镜像。
检材:001.DD
操作软件:winhex、DRS6800 数据恢复系统
解密思路:通过恢复密钥解密 1. 获取镜像文件并将其加载到 winhex 全面检索关键词恢复密钥 (也可以检索密钥文本中的其他关键词或正常匹配密钥规则),步骤如下:
步骤一:
为提高搜索精度,将采用 16 进制搜索,将恢复密钥写入新的搜索中 TXT 并将其另存为 UTF-16 LE 编码格式的 TXT 文本,恢复密钥也可以通过与涉案计算机对应的操作系统版本生成 TXT 文件 (通常保存的密钥 TXT 文件会以 UTF-16 LE 存储编码格式);
步骤二:
恢复密钥将被保存 txt 文本通过 winhex 打开,复制恢复密钥对应的 16 机制数;
步骤三:
通过 winhex 打开 001.DD,并将镜像转换为磁盘;
步骤四:
打开的 001 通过复制的恢复密钥对应的 16 机制数.DD 全面检索镜像文件,找到与恢复密钥相关的记录,进行下一步恢复密钥解密验证。
2. 解密验证前一步找到的恢复密钥,进入 DRS 加载 001 的 6800 数据恢复系统数据恢复模块.DD 镜像,右键在镜像中加密分区,选择解锁 Bitlocker,输入恢复密钥解密后,选择快速扫描获取加密分区数据。
三、总结
①
恢复密钥文件可存储在相关介质中,可结合 USB 快速找到插拔记录等相关介质;
②
Bitlocker 由于操作系统的版本不同,如果通过 Windows 系统自带的 Bitlocker 解密时,注意选择与涉案介质相同的操作系统版本;
③
处于解密状态的分区或 USB 介质,证据可以在解密状态下尽快固定,winhex 直接打开解密分区固定分区镜像。要注意的是,如果通过打开磁盘再打开分区的方式固定,分区依然会是加密状态;
④
处于解密状态的分区或 USB 为了防止介质在紧急情况下再次加密,可以在解密状态下右键管理 BitLocker 操作备份恢复密钥文件。
四、案例练习请按恢复密钥的方式解密镜像中的加密分区,并给出加密分区中去重后的 word 文档数量。
链接:https://pan.baidu.com/s/1kq2fJpTqsLVAW5g2cjHGUw
提取码:x25u
如果您有任何实际问题需要了解,或者在实战中难以处理,可以在栏目下方或效率源微信官方账号留言告诉我们,我们将在栏目的后续内容中安排您的问题。