呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：透過隱形跡證撿出金鑰，破解筆電 BitLocker 全機加密摘要：面對此一特殊狀況，R立即向專案小組說明，目前的初步鑑識分析結果，可確定Edison的這台筆電啟用了BitLocker加密功能，且不只是對C槽以外的磁碟，就連作業系統所在的C槽也一併加密了。即便是商業版的鑑識工具或破密工具，在面對BitLocker全機加密時，也無法在缺少加密金鑰或修復金鑰的情況下，僅憑暴力破解就能解密。 R娓娓道出關鍵所在，這「:key」便是具備「匿蹤」效果的「Alternative Data Stream」，簡稱ADS，若無適當的工具是無法察覺出這類跡證的存在的。ADS可用於儲存資訊並附加於檔案之內但不會影響檔案本身內容，但同樣地，亦可能成為犯嫌用以儲存重要資訊且不會被發現的絕妙所在。 R為了驗證這組修復金鑰的正確性，便以證物分身磁碟開機並輸入這組數字，果然順利跳過BitLocker鎖定畫面，證明就是這組值沒錯。引用來源： http://www.netadmin.com.tw/article_content.aspx?sn=1803010005 #5ad55fb5accc20276a4c226c

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：透過隱形跡證撿出金鑰，破解筆電 BitLocker 全機加密摘要：面對此一特殊狀況，R立即向專案小組說明，目前的初步鑑識分析結果，可確定Edison的這台筆電啟用了BitLocker加密功能，且不只是對C槽以外的磁碟，就連作業系統所在的C槽也一併加密了。即便是商業版的鑑識工具或破密工具，在面對BitLocker全機加密時，也無法在缺少加密金鑰或修復金鑰的情況下，僅憑暴力破解就能解密。 R娓娓道出關鍵所在，這「:key」便是具備「匿蹤」效果的「Alternative Data Stream」，簡稱ADS，若無適當的工具是無法察覺出這類跡證的存在的。ADS可用於儲存資訊並附加於檔案之內但不會影響檔案本身內容，但同樣地，亦可能成為犯嫌用以儲存重要資訊且不會被發現的絕妙所在。 R為了驗證這組修復金鑰的正確性，便以證物分身磁碟開機並輸入這組數字，果然順利跳過BitLocker鎖定畫面，證明就是這組值沒錯。引用來源： http://www.netadmin.com.tw/article_content.aspx?sn=1803010005

at Tue, Apr 17, 2018 10:45 AM