[Resuelto] ¿Cómo eliminar/descifrar el cifrado Bitlocker?

El cifrado BitLocker es una función de protección de datos de Windows. Se utiliza principalmente para solucionar el robo de datos o la fuga maliciosa provocada por la pérdida física de equipos informáticos. Puede admitir formatos FAT y NTFS y puede cifrar toda la partición del sistema de la computadora. Dispositivos de almacenamiento portátiles extraíbles, como unidades flash USB y discos duros móviles.

BitLocker utiliza el algoritmo de cifrado AES (Estándar de cifrado avanzado/Estándar de cifrado avanzado) de 128 o 256 bits para el cifrado. La seguridad y fiabilidad de su cifrado están garantizadas. En circunstancias normales, siempre que la contraseña sea lo suficientemente segura, este cifrado es difícil de descifrar. Por lo tanto, cuando se recopilan pruebas y se encuentran situaciones en las que las computadoras, unidades flash USB, etc. involucradas en un caso están cifradas por Bitlocker, resulta particularmente importante descifrar el cifrado y obtener los datos involucrados.

1. Ideas de descifrado

Proceso de cifrado BitLocker

El método de cifrado BitLocker para un disco es muy sencillo. Abra el administrador de recursos, haga clic derecho en la partición del disco que desea cifrar y seleccione "Habilitar BitLocker" . (El cifrado también se puede habilitar y administrar en "Panel de control" - "Sistema y seguridad" - "Cifrado de unidad BitLocker" .)

Después de hacer clic en "Habilitar BitLocker" , establezca la contraseña de la unidad cifrada en la nueva ventana emergente, haga clic en "Siguiente" después de ingresarla y luego seleccione la ubicación para guardar la clave de recuperación.

En términos generales, es más seguro almacenar la clave de recuperación en una unidad flash USB o imprimirla, porque de esta manera, la unidad cifrada y la clave de recuperación se guardan por separado, lo que proporciona una mayor seguridad. Sin embargo, en situaciones reales, a veces la clave de recuperación se guarda en el disco duro para evitar problemas, lo que también nos brinda la posibilidad de descifrarla.

Luego BitLocker comienza a cifrar todo el disco. BitLocker tarda mucho en cifrar y descifrar la unidad y el usuario debe esperar mucho tiempo. Una vez completado el cifrado, podrá ver un candado adicional en el icono del disco original, lo que indica que la unidad ha sido cifrada.

Relacionado que te puede gustar: Método para recuperar archivos ocultos en la computadora .

2.Análisis de ideas de descifrado.

Idea 1: buscar y descifrar mediante contraseña

Obtenga datos relacionados con contraseñas de todos los medios involucrados, organice los datos en un diccionario y luego use las herramientas de descifrado correspondientes para descifrarlos o forzarlos por fuerza bruta. Debido a que este método tiene una gran incertidumbre, la elección depende de la situación.

Idea 2: descifrar mediante clave de recuperación

A través del proceso de cifrado de BitLocker, podemos saber que se generará una clave de recuperación durante la configuración de cifrado. Por lo general, todos almacenarán la clave de recuperación en el método "guardar en un archivo" (generalmente no elegirá registrar una cuenta de Microsoft y la impresión es fácil de perder. Por lo tanto, la mayoría de las veces, elige guardar en un archivo). De esta forma, la clave de recuperación quedará almacenada en el medio de almacenamiento como un archivo TXT;

Cuando los datos de texto TXT se almacenan en el medio, la capa inferior se almacena en texto sin formato. Incluso si se elimina el TXT, siempre que no se sobrescriban los datos inferiores, podemos encontrar la clave de recuperación mediante la búsqueda de palabras clave inferiores y la coincidencia regular.

Idea 3: Otros

En algunos casos, a través de medios específicos involucrados, como unidades flash USB cifradas o discos duros móviles, se puede iniciar la función de desbloqueo automático en el ordenador correspondiente. Solo necesitamos conectar los medios involucrados en el caso a la computadora correspondiente para desbloquear los medios cifrados;

Extraiga la clave de BitLocker de la imagen de memoria de la computadora cifrada con BitLocker descifrada. Este método no se describe. Puede encontrar la información correspondiente usted mismo.

Recuperación de datos de computadora

Un clic para recuperar sus archivos desde una computadora Windows/Mac.

Descarga gratis Descarga gratis Aprende más

3.Práctica de casos

Actualmente hay una partición de computadora involucrada en el caso que está cifrada por BitLocker. Es necesario descifrar la partición para obtener los datos involucrados. Se ha completado la imagen del disco duro del ordenador implicado en el caso.

Material de inspección: 001.DD

Software operativo: winhex, sistema de recuperación de datos DRS6800

Idea de descifrado: descifrado mediante clave de recuperación

Obtenga el archivo de imagen y cárguelo en winhex para realizar una búsqueda completa de la palabra clave "clave de recuperación" (también puede buscar otras palabras clave en el texto de la clave o realizar una búsqueda de coincidencia regular según las reglas de la clave). Los pasos son los siguientes:

Paso 1: Para mejorar la precisión de la búsqueda, se realizará una búsqueda hexadecimal, la "clave de recuperación" se escribirá en un nuevo TXT y se guardará como texto TXT en formato de codificación UTF-16 LE. También se puede utilizar con La versión del sistema operativo correspondiente a la computadora involucrada genera un archivo TXT de la clave de recuperación (generalmente el archivo TXT de la clave guardada se almacena en formato de codificación UTF-16 LE);

Paso 2: Abra el texto txt que contiene la "clave de recuperación" a través de winhex y copie el número de dieciséis mecanismos correspondiente a la "clave de recuperación" ;

Paso 3: abra 001.DD a través de winhex y convierta la imagen a un disco;

Paso 4: Utilice los dieciséis números de mecanismo correspondientes a la "clave de recuperación" copiada para buscar completamente el archivo de imagen 001.DD abierto, encontrar los registros relacionados con la clave de recuperación y continuar con el siguiente paso de descifrado y verificación de la clave de recuperación. .

Descifre y verifique la clave de recuperación encontrada en el paso anterior, ingrese al módulo de recuperación de datos del sistema de recuperación de datos DRS6800, cargue la imagen 001.DD, haga clic derecho en la partición cifrada en la imagen, seleccione Desbloquear Bitlocker, ingrese la clave de recuperación para descifre y seleccione Análisis rápido. Puede obtener los datos de la partición cifrada.

4.Resumen

• El archivo de clave de recuperación se puede almacenar en los medios relevantes involucrados en el caso, y los medios relevantes se pueden encontrar rápidamente basándose en rastros como registros de conexión y desconexión USB;
• Bitlocker puede tener problemas de compatibilidad debido a diferentes versiones del sistema operativo. Si utiliza el Bitlocker que viene con el sistema Windows para descifrar, debe tener cuidado de seleccionar la misma versión del sistema operativo que el medio involucrado;
• Para particiones o medios USB que ya están en estado descifrado, la evidencia debe repararse lo antes posible en el estado descifrado. Puede arreglar la imagen de la partición abriendo directamente la partición descifrada a través de winhex. Cabe señalar que si lo soluciona abriendo el disco y luego abriendo la partición, la partición seguirá cifrada;
• Para particiones o medios USB que ya están en estado descifrado, para evitar que situaciones inesperadas provoquen que los medios vuelvan a estar en estado cifrado, puede hacer clic con el botón derecho para administrar el archivo de clave de recuperación de copia de seguridad de la operación BitLocker en estado descifrado.