加密解密
文章平均质量分 53
_Noema
酒肉穿肠过,佛祖心中留!
展开
-
计算机内存取证之BitLocker恢复密钥提取还原
在计算机取证界,经常遇到嫌疑人的目标电脑的磁盘是经过BitLocker加密的,此时通常的做法是通过某种手段(WinPmem、DumpIt、DMA PCILeech,ColdBoot等)取得目标机内存镜像,同时对目标机的磁盘做一个磁盘镜像(WinFE,WinHex,FTKImage等)。而后,对获取的内存镜像分析(MemProcFS等工具)取得BitLocker的VMK密钥,然后通过VMK密钥解密目标磁盘镜像(取证大师等工具),进而获取磁盘中的文件。原创 2023-06-01 20:24:58 · 2637 阅读 · 9 评论 -
分析-Bitlocker固定磁盘随系统自动解锁
PC中的一个分卷,如果启用了Bitlocker开机自动解锁功能,会在系统的注册表中记录自动解锁的密钥信息,该密钥信息是经过加密存储的,无法直接用来解密分卷。并且会生成一个meta entry type为0x000b的元数据,存储在加密的系统盘Bitlocker结构中。注册表位置如下:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FVEAutoUnlock\{volume identifier guid}其内容如下:Data部分的数据就是加原创 2021-06-18 13:53:49 · 2945 阅读 · 0 评论