[Résolu] Comment supprimer/cracker le cryptage Bitlocker ?

Le chiffrement BitLocker est une fonction de protection des données de Windows. Il est principalement utilisé pour résoudre le vol de données ou les fuites malveillantes causées par la perte physique d’équipement informatique. Il peut prendre en charge les formats FAT et NTFS et crypter l'intégralité de la partition système de l'ordinateur. Périphériques de stockage portables amovibles, tels que les clés USB et les disques durs mobiles.

BitLocker utilise l'algorithme de chiffrement AES (Advanced Encryption Standard/Advanced Encryption Standard) 128 bits ou 256 bits pour le chiffrement. La sécurité et la fiabilité de son cryptage sont garanties. Dans des circonstances normales, tant que le mot de passe est suffisamment fort, ce cryptage est difficile à déchiffrer. Par conséquent, lors de la collecte de preuves et de situations dans lesquelles les ordinateurs, les clés USB, etc. impliqués dans une affaire sont cryptés par Bitlocker, il devient particulièrement important de déchiffrer le cryptage et d'obtenir les données impliquées.

1. Idées de décryptage

Processus de chiffrement BitLocker

La méthode de chiffrement BitLocker pour un disque est très simple. Ouvrez le gestionnaire de ressources, faites un clic droit sur la partition de disque que vous souhaitez chiffrer et sélectionnez "Activer BitLocker" . (Le cryptage peut également être activé et géré dans "Panneau de configuration" - "Système et sécurité" - "BitLocker Drive Encryption" .)

Après avoir cliqué sur « Activer BitLocker » , définissez le mot de passe du lecteur crypté dans la nouvelle fenêtre contextuelle, cliquez sur « Suivant » après l'avoir saisi, puis sélectionnez l'emplacement pour enregistrer la clé de récupération.

De manière générale, il est plus sûr de stocker la clé de récupération sur une clé USB ou de l'imprimer, car de cette manière, la clé cryptée et la clé de récupération sont conservées séparément, ce qui offre une meilleure sécurité. Cependant, dans des situations réelles, la clé de récupération est parfois enregistrée sur le disque dur pour éviter des problèmes, ce qui nous donne également la possibilité de le décrypter.

BitLocker commence ensuite à chiffrer l'intégralité du lecteur. BitLocker prend beaucoup de temps pour chiffrer et déchiffrer le lecteur, et l'utilisateur doit attendre longtemps. Une fois le cryptage terminé, vous pouvez voir un verrou supplémentaire sur l'icône du disque d'origine, ce qui indique que le lecteur a été crypté.

Connexes qui pourraient vous intéresser : Méthode pour récupérer des fichiers cachés sur un ordinateur .

2.Analyse des idées de décryptage

Idée 1 : Rechercher et déchiffrer via un mot de passe

Obtenez les données relatives aux mots de passe à partir de tous les médias impliqués, organisez les données dans un dictionnaire, puis utilisez les outils de décryptage correspondants pour les déchiffrer ou les forcer brutalement. Cette méthode étant très incertaine, le choix dépend de la situation.

Idée 2 : Décrypter via la clé de récupération

Grâce au processus de chiffrement BitLocker, nous pouvons savoir qu'une clé de récupération sera générée lors des paramètres de chiffrement. Habituellement, tout le monde stocke la clé de récupération dans la méthode « enregistrer dans un fichier » (généralement, vous ne choisirez pas d'enregistrer un compte Microsoft et l'impression est facile à perdre. Ainsi, le plus souvent, vous choisissez d'enregistrer dans un fichier). De cette manière, la clé de récupération sera stockée sur le support de stockage sous forme de fichier TXT ;

Lorsque des données texte TXT sont stockées sur le support, la couche inférieure est stockée en texte brut. Même si le TXT est supprimé, tant que les données du bas ne sont pas écrasées, nous pouvons trouver la clé de récupération grâce à une recherche par mot-clé du bas et à une correspondance régulière.

Idée 3 : Autres

Dans certains cas, via des supports spécifiques concernés, tels que des clés USB cryptées ou des disques durs mobiles, la fonction de déverrouillage automatique peut être lancée sur l'ordinateur concerné. Il suffit de connecter le média impliqué dans l'affaire à l'ordinateur correspondant pour déverrouiller le média crypté ;

Extrayez la clé BitLocker de l’image de mémoire de l’ordinateur déchiffrée et chiffrée par BitLocker. Cette méthode n'est pas décrite. Vous pouvez trouver les informations correspondantes par vous-même.

Récupération de données informatiques

Un clic pour récupérer vos fichiers depuis un ordinateur Windows/Mac.

Téléchargement Gratuit Téléchargement Gratuit Apprendre encore plus

3.Pratique de cas

Il existe actuellement une partition informatique impliquée dans le cas qui est chiffrée par BitLocker. Il est nécessaire de décrypter la partition pour obtenir les données concernées. L'image du disque dur de l'ordinateur impliqué dans l'affaire a été complétée.

Matériel de contrôle : 001.DD

Logiciel d'exploitation : winhex, système de récupération de données DRS6800

Idée de décryptage : décryptage via clé de récupération

Obtenez le fichier image et chargez-le dans Winhex pour effectuer une recherche complète du mot-clé « clé de récupération » (vous pouvez également rechercher d'autres mots-clés dans le texte de la clé ou effectuer une recherche de correspondance régulière sur les règles de la clé). Les étapes sont les suivantes:

Étape 1 : Afin d'améliorer la précision de la recherche, une recherche hexadécimale sera effectuée, la « clé de récupération » sera écrite dans un nouveau TXT et enregistrée en tant que texte TXT au format d'encodage UTF-16 LE. Il peut également être utilisé avec La version du système d'exploitation correspondant à l'ordinateur impliqué génère un fichier TXT de la clé de récupération (généralement le fichier TXT de la clé enregistré est stocké au format d'encodage UTF-16 LE) ;

Étape 2 : Ouvrez le texte txt contenant la « clé de récupération » via winhex et copiez les seize numéros de mécanisme correspondant à la « clé de récupération » ;

Étape 3 : Ouvrez 001.DD via Winhex et convertissez l’image en disque ;

Étape 4 : Utilisez les seize numéros de mécanisme correspondant à la « clé de récupération » copiée pour rechercher entièrement le fichier image 001.DD ouvert, trouver les enregistrements liés à la clé de récupération et passer à l'étape suivante de décryptage et de vérification de la clé de récupération. .

Décryptez et vérifiez la clé de récupération trouvée à l'étape précédente, entrez dans le module de récupération de données du système de récupération de données DRS6800, chargez l'image 001.DD, cliquez avec le bouton droit sur la partition cryptée dans l'image, sélectionnez Déverrouiller Bitlocker, entrez la clé de récupération pour décrypter et sélectionnez Analyse rapide. Vous pouvez obtenir les données de partition cryptées.

4.Résumé

• Le fichier de clé de récupération peut être stocké sur le support concerné impliqué dans l'affaire, et le support concerné peut être rapidement trouvé sur la base de traces telles que les enregistrements de prise et de débranchement USB ;
• Bitlocker peut avoir des problèmes de compatibilité en raison des différentes versions du système d'exploitation. Si vous utilisez le Bitlocker fourni avec le système Windows pour décrypter, vous devez veiller à sélectionner la même version du système d'exploitation que le support concerné ;
• Pour les partitions ou les supports USB déjà à l'état déchiffré, les preuves doivent être réparées dès que possible à l'état déchiffré. Vous pouvez réparer l'image de la partition en ouvrant directement la partition déchiffrée via Winhex. Il convient de noter que si vous le corrigez en ouvrant le disque puis en ouvrant la partition, la partition sera toujours cryptée ;
• Pour les partitions ou les supports USB déjà dans l'état déchiffré, afin d'éviter que des situations inattendues ne remettent le support dans l'état chiffré, vous pouvez cliquer avec le bouton droit pour gérer le fichier de clé de récupération de sauvegarde de l'opération BitLocker dans l'état déchiffré.