一个磁盘镜像,一个内存镜像
攻击者恶意访问用户的PC和加密的特定卷。如何解密卷?
使用工具volatility。首先查看镜像的系统信息,得到版本
python vol.py -f memory imageinfo
下载压缩包,打开后得到memory和Secret两个文件,用volatility扫描memory文件可以看到一个BitLocker密钥文件
将这个文件导出python vol.py -f memory --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007e02af80 -D ./
翻译一下
使用DisGenius打开Secret文件
Wow, you have a great ability. How did you solve this? Are you a hacker? Please give me a lesson later.