解密 BitLocker 卷或镜像具有挑战性,因为 BitLocker 提供的各种加密选项需要不同的解密信息。
BitLocker 加密选项
可用于加密 BitLocker 卷的保护程序包括:
TPM (可信平台模块芯片)
TPM+PIN 码
启动密钥(在 USB 驱动器上)
TPM+PIN + 启动密钥
TPM+启动密钥
密码
恢复密钥(数字密码;在 USB 驱动器上)
恢复密码(在 USB 驱动器上)
活动目录域服务 (ADDS) 帐户
若要显示某个 BitLocker 卷的保护程序,在命令行提示符 (cmd) 中键入以下命令:
manage-bde -protectors -get C:
(where C: is the name of the mounted BitLocker-encrypted volume)
保护程序列表将显示如下:
根据 Microsoft 文档,下面提供了有关每种保护程序类型的详细信息:
TPM。BitLocker 使用计算机的 TPM 来保护加密密钥。如果指定此保护程序,则只要加密驱动器连接到加载 TPM 的主板,并且系统可以完整完好启动,用户就可以访问该加密驱动器。通常,基于 TPM 的保护程序只能与操作系统卷相关联。
TPM+PIN 码。BitLocker 使用 TPM 和用户提供的个人标识号 (PIN) 的组合。PIN 是 4 到 20 位数字,或者如果您允许增强型 PIN,则为 4 到 20 位字母、符号、空格或数字。
启动密钥。BitLocker 从包含外部密钥的 USB 存储设备中获取一个带有 .BEK 扩展名的二进制文件。
TPM+PIN+启动密钥。BitLocker 使用 TPM、用户提供的 PIN 和包含外部密钥的 USB 存储设备的输入。
TPM+启动密钥。BitLocker 使用 TPM 和包含外部密钥的 USB 存储设备的输入。
密码。使用用户提供的密码访问卷。
恢复密钥。恢复密钥也称为数字密码,作为指定文件存储在 USB 存储设备中。它是一个由破折号分隔的 48 位数字的序列。
活动目录域服务帐户。BitLocker 使用域身份验证来解锁数据卷。操作系统卷不能使用这种类型的密钥保护程序。
这些保护程序中的任何一个都会加密 BitLocker 卷主密钥 (VMK) 以生成完整卷加密密钥 (FVEK),然后使用该密钥加密卷。
使用内存镜像即时解密 BitLocker 卷
如果挂载了 BitLocker 卷,则 VMK 将驻留在 RAM 中。
当 Windows 显示标准 Windows 用户登录屏幕时(如上所述),这意味着系统 BitLocker 卷已挂载,并且 VMK 驻留在内存中。使用热启动方法创建实时内存镜像后,可以使用专门的数据恢复软件提取 VMK 并解密卷。
打开配置了默认 BitLocker 设置的计算机时,Windows 将从 TPM 芯片读取加密密钥,装入系统驱动器并继续启动过程。在这种情况下,VMK 也驻留在内存中。
使用特定的数据恢复软件可以从内存镜像(或休眠文件)中提取 VMK,并解密 BitLocker 卷。
总结
总而言之,如果内存镜像包含 VMK,则无论用于加密卷的保护程序类型如何,都会对卷进行解密。通过提取此 VMK,还可以恢复保护程序(恢复密钥和启动密钥)。
但是,如果内存镜像不包含 VMK(在实时内存采集期间未挂载卷、休眠文件已被覆盖等),则只能使用密码保护程序解密卷,即恢复原始密码(使用暴力破解或字典攻击)。
密码恢复过程非常耗时,并且取决于密码复杂性、有关密码的任何知识以及可用于密码恢复的硬件资源,例如 GPU 和分布式计算的可用性。因此,恢复的原始密码可用于挂载 BitLocker 卷。
对于某些卷,密码可能不在使用的保护程序中,并且该卷可能受到其他保护程序(例如启动密钥或 TPM + PIN)的保护。在这种情况下,如果没有挂载卷时获取的内存镜像或包含 VMK 的休眠文件,则无法解密卷。
鸿萌公司从事数据安全服务二十余年,致力于为各领域客户提供专业的数据恢复、数据备份、数据取证、数据迁移解决方案,并针对企业面临的数据安全风险,提供专业的相关数据安全培训。
BitLocker 加密选项
可用于加密 BitLocker 卷的保护程序包括:
TPM (可信平台模块芯片)
TPM+PIN 码
启动密钥(在 USB 驱动器上)
TPM+PIN + 启动密钥
TPM+启动密钥
密码
恢复密钥(数字密码;在 USB 驱动器上)
恢复密码(在 USB 驱动器上)
活动目录域服务 (ADDS) 帐户
若要显示某个 BitLocker 卷的保护程序,在命令行提示符 (cmd) 中键入以下命令:
manage-bde -protectors -get C:
(where C: is the name of the mounted BitLocker-encrypted volume)
保护程序列表将显示如下:
根据 Microsoft 文档,下面提供了有关每种保护程序类型的详细信息:
TPM。BitLocker 使用计算机的 TPM 来保护加密密钥。如果指定此保护程序,则只要加密驱动器连接到加载 TPM 的主板,并且系统可以完整完好启动,用户就可以访问该加密驱动器。通常,基于 TPM 的保护程序只能与操作系统卷相关联。
TPM+PIN 码。BitLocker 使用 TPM 和用户提供的个人标识号 (PIN) 的组合。PIN 是 4 到 20 位数字,或者如果您允许增强型 PIN,则为 4 到 20 位字母、符号、空格或数字。
启动密钥。BitLocker 从包含外部密钥的 USB 存储设备中获取一个带有 .BEK 扩展名的二进制文件。
TPM+PIN+启动密钥。BitLocker 使用 TPM、用户提供的 PIN 和包含外部密钥的 USB 存储设备的输入。
TPM+启动密钥。BitLocker 使用 TPM 和包含外部密钥的 USB 存储设备的输入。
密码。使用用户提供的密码访问卷。
恢复密钥。恢复密钥也称为数字密码,作为指定文件存储在 USB 存储设备中。它是一个由破折号分隔的 48 位数字的序列。
活动目录域服务帐户。BitLocker 使用域身份验证来解锁数据卷。操作系统卷不能使用这种类型的密钥保护程序。
这些保护程序中的任何一个都会加密 BitLocker 卷主密钥 (VMK) 以生成完整卷加密密钥 (FVEK),然后使用该密钥加密卷。
使用内存镜像即时解密 BitLocker 卷
如果挂载了 BitLocker 卷,则 VMK 将驻留在 RAM 中。
当 Windows 显示标准 Windows 用户登录屏幕时(如上所述),这意味着系统 BitLocker 卷已挂载,并且 VMK 驻留在内存中。使用热启动方法创建实时内存镜像后,可以使用专门的数据恢复软件提取 VMK 并解密卷。
打开配置了默认 BitLocker 设置的计算机时,Windows 将从 TPM 芯片读取加密密钥,装入系统驱动器并继续启动过程。在这种情况下,VMK 也驻留在内存中。
使用特定的数据恢复软件可以从内存镜像(或休眠文件)中提取 VMK,并解密 BitLocker 卷。
总结
总而言之,如果内存镜像包含 VMK,则无论用于加密卷的保护程序类型如何,都会对卷进行解密。通过提取此 VMK,还可以恢复保护程序(恢复密钥和启动密钥)。
但是,如果内存镜像不包含 VMK(在实时内存采集期间未挂载卷、休眠文件已被覆盖等),则只能使用密码保护程序解密卷,即恢复原始密码(使用暴力破解或字典攻击)。
密码恢复过程非常耗时,并且取决于密码复杂性、有关密码的任何知识以及可用于密码恢复的硬件资源,例如 GPU 和分布式计算的可用性。因此,恢复的原始密码可用于挂载 BitLocker 卷。
对于某些卷,密码可能不在使用的保护程序中,并且该卷可能受到其他保护程序(例如启动密钥或 TPM + PIN)的保护。在这种情况下,如果没有挂载卷时获取的内存镜像或包含 VMK 的休眠文件,则无法解密卷。
鸿萌公司从事数据安全服务二十余年,致力于为各领域客户提供专业的数据恢复、数据备份、数据取证、数据迁移解决方案,并针对企业面临的数据安全风险,提供专业的相关数据安全培训。
