Bitlocker密钥提取之自动解锁磁盘的手动解密

置顶 已于 2025-07-14 14:03:12 修改
阅读量3.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 攻防 windows 加密解密 文章标签: Bitlocker 自动解锁磁盘 Bitlocker加解密技术
于 2021-06-18 13:53:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liu_si_yan/article/details/116944780

环境介绍

PC中的一个非系统盘(如:D、E、F盘等),如果启用了Bitlocker开机自动解锁功能,会在系统的注册表中记录自动解锁的密钥信息,该密钥信息是经过加密存储,无法直接用来解密分卷。

旧系统密钥解密

  • 制作目标磁盘镜像

  • 使用Asernal挂载目标磁盘镜像,用已取得的系统盘恢复密钥解锁系统盘,这里假设解锁后的系统盘为F:\

  • 通过本地注册表编辑器(regedit)挂载目标系统盘中NTUser.dat注册表文件,F:\Users\pc\NTUSER.DAT

  • 从挂在后NTUSER.dat中导出FVEAutoUnlock项
    旧系统的FVEAutoUnlock在注册表中位置

    HKEY_LOCAL_MACHINE\**[挂载点]**\Software\Microsoft\Windows\CurrentVersion\FveAutoUnlock

    导出该项到文件,如导出文件到桌面,文件名如:C:\Users\coder\Desktop\FVEAutoUnlock.reg

  • 解密FVEAutoUnlock
    通过NirSoft工具集中的DataProtectionDecryptor工具解密 C:\Users\coder\Desktop\FVEAutoUnlock.reg中的数据,如下图所示
    在这里插入图片描述
    上图中,F:\盘是挂载出来的目标系统盘分区,输入F:\后,点击Automatic Fill按钮,下面的路径将自动填充。接着要求输入Windows Login Password,接着输入Filename that contains the DPAPI data to decrypt,也就是上一步导出的FVEAutoUnlock.reg文件路径。然后就会看到解密成功的2行数据,这2行数据中的红框内容是一样的(至少目前看到的是相同的32个字节的数据)。

    最后,将红框中32字节的数据替换到任意一个.BEK文件的最后32字节中,替换后样例如下图所示
    在这里插入图片描述
    通过manage-bde命令解锁非系统盘分区,这里假设非系统盘挂载后的盘符为K,则解锁命令为

    manage-bde -unlock K: -rk C:\Users\coder\Desktop\*****.BEK

  • 解密需要登录密码的情况
    如果没有输入Windows Login Password,且DPAPI解密时需要登录密码,则无法解密密钥,如下图所示
    在这里插入图片描述
    如上图所示,要求输入目标系统的登录密码。
    如果目标系统是微软账户登录或者PIN码登录,则需要目标系统的微软账户密码,然后通过Nirsoft工具集中的MadPassExt工具提取微软账户对应的密码,如下图所示
    在这里插入图片描述

新系统密钥解密

新系统中,当非系统盘启用自动解锁时,会在加密的系统盘的Bitlocker元数据中生成一个meta entry type为0x000b的数据,存储在加密的系统盘Bitlocker结构中。

因此,以下获取自动解锁的加密分区密钥需要加密的系统盘的Bitlocker元数据。如果做磁盘镜像时,只拷贝了系统盘的明文分区数据,没有系统盘的Bitlocker元数据,则无法提取自动动解锁盘的密钥,无法解密。

先看一下,当非系统盘设置为Bitlocker加密并且自动随系统解锁,在注册表中会有FVEAutoUnlock项,具体的注册表位置如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FVEAutoUnlock\{GUID}

导出该注册表项的内容如下图所示:
FVEAutoUnlock加密数据
登录状态下,导出该项需要SYSTEM权限。可以通过Sysinternal工具集中的PsExec.exe命令行程序启动注册表编辑器regedit,此时的注册表编辑器进程具有System权限。

PsExec.exe -i -d -s regedit.exe

Data部分的数据就是加密后的数据,其大致结构如下:

uint32_t			length; 		// 0x88	目前遇到的长度是0x88字节,其它情况待定
uint32_t			value_type; 	// 0x09 External key
GUID				protector_id; 	// 0x10 StartupKey ID
uint64_t			filetime;		// 0x08 文件时间
uint8_t				meta_header[8];	// 0x08 metadata header
GUID				volume_id;		// 0x10 加密卷标识ID
aes_ccm_encrypted	encryption_key;

encryption_key的大致结构如下:

uint16_t 			size;
uint16_t 			type;
uint16_t			value_type;
uint16_t			version;
uint8_t				nonce[0x0C];
uint8_t				cipher_text[0x3C];

关于每个字段的详细介绍,参考BitLocker Drive Encryption (BDE) format.asciidoc

要解密FVEAutoUnlock中的数据,前提条件需要通过某些手段(如目标内存镜像文件提取、TPM嗅探等),获得加密的系统盘的RecoveryPassword或者VMK密钥,并且得到了目标磁盘的镜像。

解密流程如下:
FVEAutoUnlock数据解密流程图

Bitlocker相关技术,欢迎交流 wxwlwkl@gmail.com

轻松解锁BitLocker:创建自动解密批处理脚本
Liu_Bruce的博客
11-25 1556
在Windows 7中,BitLocker驱动器加密是一种用于保护存储在固定数据驱动器上的数据的技术。然而,自动解密BitLocker保护的驱动器并不是一个直接支持的功能,因为这会削弱BitLocker的安全性。通常情况下,用户需要通过输入密码或使用恢复密钥解锁BitLocker保护的驱动器。不过,如果你希望创建一个批处理文件(.bat)来简化手动输入密码的过程,你可以考虑以下方法。请注意,这种方法仍然需要你提供密码,并且它可能不适合所有情况下的安全性需求。
Bitlocker密钥提取之热重启(硬重启)
柳似烟的专栏
06-18 1964
基于热重启(warm-boot)的内存镜像获取,提取内存敏感数据信息,实现取证目的
BitLocker自动解锁密钥保存在哪里?
DONG999的专栏
06-21 4919
在这种情况下,管理员可以创建一个称为“BitLocker恢复密码”的对象,用于存储所有计算机的恢复密钥。该对象仅可由管理员和授权用户访问。在这种情况下,BitLocker会将密钥存储在计算机的TPM芯片、活动目录域或外部USB驱动器等位置之一。外部USB驱动器:如果您不想使用TPM芯片或 Active Directory来存储BitLocker密钥,也可以将密钥存储在外部USB驱动器上。如果计算机具有TPM芯片,并且您已经启用了TPM支持,则BitLocker默认会将密钥存储在该芯片中。
NTSTATUS codes
weixin_30485799的博客
03-06 2178
NTSTATUS codes These are from the Windows Server 2008 DDK. Download the script that generated this page here.Original script by Jon Larimer.I have tried to contact Jon about this updated listing...
BitLocker加密卷分析(附一个人工分析加密策略与身份验证模式的方案)
最新发布
qq_43934316的博客
06-03 1298
本文分析了Windows Bitlocker加密卷数据,以便在不掌握任何信息的前提下,初步获取加密卷的加密策略和身份验证模式。另通过示例演示了一个人工分析方案,便于理解原理和开展深入学习。
自动解锁Bitlocker加密硬盘
weixin_44274609的博客
04-13 8368
自动解锁Bitlocker加密硬盘有两种方式,一种是将系统盘也加密,然后数据盘启动自动解锁。但是系统盘加密会降低系统运行速度,还是比较明显的。 第二种方式就是编写程序,开机后启动程序或者开机自动运行,解锁数据盘。参考:https://social.msdn.microsoft.com/Forums/vstudio/en-US/26c44d82-7aa3-4d18-a963-b86eb617a609/unlock-bit-locker-programmatically?forum=csharpgeneral
【windows】开机自启一键自动挂载vhdx(支持bitlocker加密)虚拟磁盘并直接在命令行解锁bitlocker自动提权管理员身份运行bat脚本&&vhdx虚拟磁盘文件压缩代码
czc的博客的csdn版本,欢迎访问我的还在建设的个人网站:czchx.cc
10-31 6582
脚本代码下面自取,建议用第三版或第五版代码,复制进记事本,记事本后缀修改为bat文件,把这个文件放到同vhdx文件的目录下即可双击运行。
Bitlocker密钥提取之bootmgfw调试
柳似烟的专栏
05-22 1004
本文介绍了基于GDB+VMWare+IDA的调试环境搭建与配置方法,重点描述了在VMWare虚拟机中调试Windows 11系统启动过程的技术细节。文章详细说明了如何通过IDA进行远程GDB调试,包括断点设置、函数反汇编、内存地址跟踪等操作。特别针对调试过程中可能遇到的虚拟机崩溃问题,提供了通过禁用Hyper-V模式的解决方案。此外,文章还展示了如何通过调试获取BitLocker的VMK密钥,并验证其有效性,最终提取出明文的BitLocker恢复密钥。该调试方法为深入分析系统启动过程和BitLocker加密
bitlocker自动上锁.bat
05-22
自行修改加密的盘符,然后再运行bat。小白一名,大佬勿喷。
Bitlocker密钥提取之SYSTEM劫持
柳似烟的专栏
05-30 1139
摘要:CVE-2024-20666漏洞存在于Windows 10及更高版本的winload模块中,该漏洞允许通过修改BCD引导配置中的systemdatadevice字段值,在Recovery环境中获取BitLocker恢复密钥。攻击者可利用WinPE环境修改BCD配置,设置systemdatadevice指向特定分区,并在该分区放置修改后的SYSTEM注册表文件(含启动cmd的设置),从而在恢复模式中直接获取加密密钥。本文详细描述了从提取SYSTEM文件到最终获取密钥的完整利用过程。
实验6使用BitLocker加密磁盘201911181
08-03
BitLocker是Windows操作系统内置的一种全磁盘加密技术,可以保护硬盘上的数据免受未经授权的访问。 首先,要在Windows Server 2019中启用BitLocker功能,需通过“服务器管理器”进行操作。打开“添加角色和功能”...
Bitlocker加密磁盘右击加锁锁定
07-01
在日常使用中,为了方便快捷地管理已加密的磁盘,我们可以自定义右键菜单,添加BitLocker的加锁和解锁选项。下面将详细阐述BitLocker的工作原理、设置方法以及如何通过右键菜单实现快速锁定。 一、BitLocker工作...
使用 BitLocker磁盘加密的完整方案与实施指南
2302_78806594的博客
02-11 2056
本文将详细介绍如何使用 BitLocker磁盘进行加密,包括前期准备、具体实施步骤、风险措施以及恢复密钥管理,帮助企业高效实施数据加密方案。BitLocker 不仅提供了强大的加密功能,还能通过合理的管理,确保系统和数据的安全性和完整性。3. **配图**:在博客中加入一些截图,例如 BitLocker 加密界面、恢复密钥保存路径等,帮助读者更直观地理解操作步骤。2. 实用建议:提供一些实用建议,例如如何选择加密模式(TPM、PIN 或 USB 密钥),以及如何优化加密性能。
Bitlocker.zip快速实现磁盘自动加锁功能
3. BitLocker 恢复密钥 B85A6D18-7FAB-469E-8789-451D6D0F1084.txt - 这个文本文件显然是一个Bitlocker的恢复密钥密钥是用于在忘记密码或遇到其他无法解锁Bitlocker加密磁盘的情况下,可以恢复访问数据。...
windows11 BitLocker 强制解锁
热门推荐
风若云风
01-22 2万+
windows11 BitLocker 强制解锁
加解密篇】电子数据取证分析之特殊的自加密BitLocker解密
蘇小沐的电子数据取证博客
01-23 2392
公众号回复关键词【加解密自动获取资源合集【蘇小沐】
破案了!还真就是Windows11默认开机的BitLocker,不想被加密的赶紧关掉!
衡水铁头哥的博客
11-22 6215
上次BitLocker事件让我印象深刻、刻骨铭心([求助帖]电脑硬盘意外被BitLocker锁了,求解密方法),虽然上百位热心粉丝给我提了若干建议,我把能尝试的方法都试了一个遍,结果仍然于事无补。最终,我从4月份换下来的那个硬盘里面恢复了4月份之前的一部分数据,因为这个硬盘在8月份被格式化了。这段时间,我最想弄清楚的就是:到底是谁把BitLocker给我打开了!?接下来是我做的一些对比测试:首先是...
Windows解锁Bitlocker经验
qq_47601631的博客
10-29 3980
windows系统解锁Bitlocker加密的数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值