写在前面
蓝🐱是本菜🐕打的第一场也是唯一一场线下,意义比较重大,去年太菜都没啥体验感,今年i春秋推出了复现服务,于是开始重温一下赛题。
嫌疑人x的硬盘
2333,今天刚学bitlocker,晚上复现就是了,有一点有缘。可惜这题后面有逆向,本杂技选手无法完成复现,就水一点前面的内容吧。
什么是bitlocker
BitLocker(直译为“位元锁”)是内置于Windows Vista及其之后系统的全磁盘加密功能,透过为整个卷(英语:Volume (computing))提供加密来保护数据。它默认在密码块链接(CBC)或XTS(英语:Disk encryption theory)模式下使用128位或256位密钥的AES加密算法。其中CBC用于每个单独的磁盘扇区,不在整个磁盘上使用。
解题思路
bitlocker恢复密钥串为8组长度为6的数字,中间-
分隔,所以可以用正则表达式进行搜索,或者直接根据密钥文件特点,搜索关键字恢复密钥:
。获取密钥之后就直接使用取证大师自带的bitlocker解密就可以了。
部分wp
这题一丢进取证大师就直接看到了
然后右键恢复
输入密钥
然后就重新自动取证和数据恢复
接下来逆chat1.exe
即可,至于怎么逆,啥原理,我也不造2333
不会逆向,比较失败的复现2333
本来想同时复现两题的,但是因为环境一直有点问题没有修复好,怕又和上次一样直接咕咕一个月,就先发一篇。