TPM芯片不用愁，疑难案件获突破

TPM芯片不用愁，疑难案件获突破近日，我司接到某地市公安的案件技术协助请求，要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查，通过前期排查，已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押，该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动，然而警方发现嫌疑人有案底，十分狡猾，具有很强的反侦察意识，电脑使用了BitLocker加密技术对硬盘进行加密，拒不承认自己与案件相关，不交代电脑的开机密码，案件陷入僵局。经过预检发现，硬盘系统分区有Bitlocker加密。警方通过多种方法尝试，联系了国内的多家电子数据取证公司，耗费一个多星期到各地寻找破解加密磁盘的方法，结果都无法解密加密磁盘的数据，最后辗转找到我司寻求技术支援。完成嫌疑人笔记本电脑的全盘镜像后，尝试使用我司的秘密武器CSIR-5000（临机绕密取证设备）对启用TPM+PIN保护的BitLocker加密的Windows 10系统进行破解。该设备采用内存直接访问(DMA)攻击技术，通过将内置的无线网卡替换为专用卡，使用专用软件进行内存扫描，刚开始遇到无法访问内存问题，发现该电脑默认启用了“快速启动“机制造成，经过调试，很快在十多分钟内就成功绕过Windows 10系统的锁屏密码，随意输入一个密码进入系统后，运行一个简单的命令行，成功获取到了该BitLocker加密磁盘的48位的恢复密钥。该绕密取证过程全程进行了录像，确保符合司法要求。使用我司的取证神探取证分析软件加载硬盘镜像，输入提取的48位BitLocker恢复密钥，成功解密了硬盘数据。经过对解密后的数据分析，我们发现嫌疑人有很强的反侦察经验，电脑上安装了反取证软件，经常对计算机痕迹进行擦除。经过我们不懈的努力，最终还是找到了连接服务器的历史记录，根据这些线索，把服务器等其他的线索串连起来，形成了证据链。此外，还在硬盘镜像中发现了1个iPhone手机备份及1个iPad备份、两个iOS设备的Lockdown密钥数据，并解析出了部分有价值的数据。 https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA

在Telegram中查看

相关推荐

技术男报复摄影企业拒绝购买其推销的设备远程操控电脑硬盘锁资料被抓

技术男报复摄影企业拒绝购买其推销的设备远程操控电脑硬盘锁资料被抓 2024年2月1日，泸州市江阳区某摄影公司发现公司电脑硬盘被加密，技术人员多次尝试解密和数据恢复均以失败告终，导致公司业务全面停滞，面临客户投诉、高额违约金、数据泄露和倒闭的风险。公司内部排查无果，随后报警。民警调查后最终锁定了犯罪嫌疑人罗某斐，并在贵州铜仁将其抓获。经查，时间的起因竟是罗某斐为报复该摄影企业拒绝购买其推销的设备，通过远程控制系统，恶意加密锁定摄影公司服务器硬盘，导致系统无法正常使用。罗某斐还利用此类手段，控制了全国各地摄影公司服务器电脑终端90余台。目前，犯罪嫌疑人已被依法采取刑事强制措施，案件正在进一步侦办中。该摄影公司已成功解密恢复数据16TB，挽回经济损失一百万余元。 ... PC版：手机版：

【软件名称】BitLocker

【软件名称】BitLocker 【软件功能】磁盘加密【支持平台】#Windows 【软件简介】BitLocker 驱动器加密是一项数据保护功能，它与操作系统集成，用于解决来自丢失、被盗或销毁不当的计算机的数据被盗或泄露的威胁。【软件下载】不用下载，系统自带。【使用方法】

YouTuber使用Raspberry Pi Pico在不到一分钟的时间内破解了BitLocker加密

YouTuber使用Raspberry Pi Pico在不到一分钟的时间内破解了BitLocker加密为了实施攻击，他利用了可信平台模块（TPM）。在大多数电脑和笔记本电脑中，TPM 位于外部，使用 LPC 总线从 CPU 发送和接收数据。微软的 BitLocker 依赖 TPM 来存储平台配置寄存器和卷主密钥等关键数据。stacksmashing 在测试时发现，LPC 总线通过通信线路与 CPU 通信，这些通信线路在启动时未加密，可被窃取关键数据。stacksmashing 将 Raspberry Pi Pico 连接到未使用连接器上的金属针脚，以在启动时捕获加密密钥。Raspberry Pi 被设置为在系统启动时捕获 TPM 的二进制 0 和 1，这样他就能拼凑出卷主密钥。完成后，他取出加密硬盘，使用带卷主密钥的解锁程序解密硬盘。微软指出这些攻击是可能实现的，但表示这需要复杂的工具和长时间对设备的物理访问。不过，正如视频所示，准备实施攻击的人可以在一分钟内完成攻击。不过，这其中也有一些注意事项需要牢记。这种攻击只适用于外部 TPM 模块，CPU 需要从主板上的模块获取数据。现在，许多新型笔记本电脑和台式机 CPU 都配备了 fTPM，关键数据在 CPU 本身内部存储和管理，微软建议设置 BitLocker PIN 以阻止这些攻击，但要做到这一点并不容易，因为需要设置组策略来配置 PIN。 ... PC版：手机版：

微软证实Windows 11 24H2将默认采用全盘加密但旧版本升级不会加密

微软证实Windows 11 24H2将默认采用全盘加密但旧版本升级不会加密访问：Saily - 使用eSIM实现手机全球数据漫游安全可靠源自NordVPN 但从 Windows 11 24H2 版开始无论是家庭版还是专业版都会采用全盘加密，微软公司也证实了确实已经进行调整以便启用设备加密功能。微软在声明中表示：我们已经进行了一些调整 (删除现代待机 / HSTI 验证和不受信任的 DMA 端口检查) 以启用设备加密，在全新安装 Windows 11 时自动启动设备加密 (这个声明和微软在 2023 年在博客中的说法是完全相同的)全盘加密的工作原理：当用户全新安装 Windows 11 24H2 及以上版本时 (或者购买预装 Windows 11 24H2 及以上版本的 PC 时)，Windows 11 会为系统盘采用 BitLocker 全盘加密。在 OOBE 安装阶段不会有任何提醒，安装完成时用户登录微软账户，则 BitLocker 的恢复密钥会保存到账户中心中，如果用户需要恢复数据时就会用到恢复密钥。日常使用时用户可能不会注意到已经被加密，因为这和手动对硬盘进行 BitLocker 加密不同，手动加密时需要输入设定的密码才能解锁，或者输入密码后选择自动解锁，Windows 11 默认的全盘加密则是自动解锁，不需要用户设置和输入任何密码，因此用户可能不会注意到已经被加密。潜在影响：如果用户使用本地账户登录则有数据丢失风险，即恢复密钥无法保存到微软账户中心里，如果用户没注意到这点，系统挂了的时候需要重装那么数据可能就无法解密了。这也是从 Windows 10 开始就经常有用户吐槽设备被加密重装丢失所有数据的原因，用户应当平时做好重要数据的备份。所以如果用户比较排斥全盘加密的话，可以考虑在 OOBE 阶段通过修改注册表禁用 BitLocker 加密，这样继续使用本地账户也没问题。另外对于受支持的设备，在完成安装后转到 Windows 11 设置、隐私和安全、设备加密里，也可以关闭加密功能。 ... PC版：手机版：

《傲梅分区助手》简介：傲梅分区助手是一款专业的磁盘分区管理软件，可帮助用户对硬盘进行分区、合并、调整大小等操作，优化磁盘空间分配

《傲梅分区助手》简介：傲梅分区助手是一款专业的磁盘分区管理软件，可帮助用户对硬盘进行分区、合并、调整大小等操作，优化磁盘空间分配，提高磁盘使用效率，保障数据存储安全标签： #傲梅分区助手 #磁盘管理软件 #分区工具 #数据安全软件文件大小 NG 链接：

13、Awesome-forensics-1

13、Awesome-forensics-1 一个很丰富的取证资源：近 300 个开源取证工具和 600 篇取证博客文章。 14、Lockwatcher 反取证监测软件：寻找未经授权的访问迹象并清除密钥/关闭一切。 Lockwatcher是建立在这样的假设之上的：如果有人试图在您的电脑被锁住的时候使用您的电脑，他们就会试图获取您的实时数据，所以这些数据需要被销毁，并且使电脑无法访问。它的工作方式是：只要您不在电脑前，就会锁定电脑。与被锁定的计算机进行交互会导致崩溃。加密密钥从内存中被移除，计算机被关闭。就是这样。您还可以补充更多内容。 #AntiForensics #Forensics #tools

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人