柳似烟的专栏

基于bitpixie的BitLocker密钥自动化提取

同样的，具备TPM芯片的电脑，在系统中存在一个\Device\TPM的设备以及对应的TPM驱动程序，所以，当对系统进行基于TPM芯片的Bitlocker加密时，存在DeviceIOControl的交互，下面通过抓包来窥探这一过程。同样，基于TPM的安全启动链也不做过多解释，简单说就是当电脑通过TPM进行全盘加密后，后期对电脑的改动影响系统启动，PCR校验不通过时，触发输入恢复密钥的“蓝屏”。通过分析保存的json格式的文件，追踪文件句柄，得到TPM加密时的所有与驱动层的交互数据。PCR校验位图解释如下。

在计算机取证界，经常遇到嫌疑人的目标电脑的磁盘是经过BitLocker加密的，此时通常的做法是通过某种手段（WinPmem、DumpIt、DMA PCILeech，ColdBoot等）取得目标机内存镜像，同时对目标机的磁盘做一个磁盘镜像（WinFE，WinHex，FTKImage等）。而后，对获取的内存镜像分析（MemProcFS等工具）取得BitLocker的VMK密钥，然后通过VMK密钥解密目标磁盘镜像（取证大师等工具），进而获取磁盘中的文件。

PC中的一个分卷，如果启用了Bitlocker开机自动解锁功能，会在系统的注册表中记录自动解锁的密钥信息，该密钥信息是经过加密存储的，无法直接用来解密分卷。并且会生成一个meta entry type为0x000b的元数据，存储在加密的系统盘Bitlocker结构中。要解密FVEAutoUnlock中的数据，前提条件需要通过某些手段(如目标内存镜像文件提取、TPM嗅探等)，获得加密的系统盘的RecoveryPassword或者VMK密钥，并且得到了目标磁盘的镜像。关于每个字段的详细介绍，参考。