One more important thing,在进行Windows仿真取证的时候,会出现在没有用户密码,无法进入系统的情况。在这种情况,有两种方法:一种是想办法得到用户密码,另外一种是直接修改用户密码。对于第一种情况,可以考虑提取出NTLM哈希之后,对哈希值进行爆破,或者直接查彩虹表;对第二种情况,则是需要直接修改NTLM所储存的哈希值,修改为已知的字符串的哈希值,进而直接以已知的字符串进入系统。
BitLocker加密是Windows的一种数据保护功能,主要用于解决由于计算机设备的物理丢失导致的数据失窃或恶意泄漏,能够同时支持FAT和NTFS两种格式,可以加密电脑的整个系统分区,也可以加密可移动的便携存储设备,如U盘和移动硬盘等。 BitLocker使用AES(高级加密标准/Advanced Encryption Standard)128位或256位的加密算法进行加密,其加密的安全可靠性得到了保证,通常情况下,只要密码有足够强度,这种加密就很难被破解。 因此,当取证中遇到涉案的电脑、U盘等被Bitlocker加密的情况,破解加密获取涉案数据就变得尤为重要。
注意 家庭版无此功能 分区可用空间会变小
思路1:通过密码查找解密
- 从所有涉案介质中获取与密码相关的数据,将这些数据整理成字典后,再通过相应的解密工具解密或暴力破解,因为此方法存在很大的不确定性,所以视情况选择。 思路2:通过恢复密钥解密
- 通过BitLocker加密的过程,我们可以知道在加密设置时会产生恢复密钥,通常大家会以“保存到文件”的方式存放恢复密钥(一般不会选择注册Microsoft账户,而打印又容易丢失,所以更多时候选择保存到文件),这种方式恢复密钥会以TXT文件的方式存放到存储介质中;
- TXT文本数据在介质中存放时,底层是以明文的方式存放的,就算是TXT被删除,只要底层数据没有被覆盖,我们就可以通过底层关键字查找、正则匹配的方式找到恢复密钥进行解密。 思路3:其它
- 在一些案件中,通过特定的涉案介质如:加密的U盘或移动硬盘,可以在相关的电脑上启动自动解锁功能,我们只需将涉案介质接到相应的电脑上即可解锁加密介质;