iOSシステム修復ツール

iPhone/iPad/iPod からシステムを修復します。

壊れた Android データ抽出

壊れた Android データを復元し、Android デバイスを正常に修復します。

コンピュータのデータ復旧

ワンクリックで Windows/Mac コンピュータからファイルを取り戻します。

iPhoneパスワードマネージャー

すべての iPod/iPad/iPod パスワードを簡単に管理できます。

AI ビデオ コンバーター 究極

ビデオコンバータの問題をすべて解決します。

[解決済み]Bitlocker 暗号化を削除/クラックするにはどうすればよいですか?

BitLocker 暗号化テクノロジは広く使用されているデータ保護方法ですが、その使用にはいくつかの課題も伴います。この記事では、コンピューター上の BitLocker 暗号化を削除する方法を詳しく紹介し、使用中に発生する可能性のある問題を解決するのに役立ちます。

Bitlocker暗号化をクラック

BitLocker 暗号化は、Windows のデータ保護機能です。主に、コンピュータ機器の物理的な損失によるデータの盗難や悪意のある漏洩を解決するために使用されます。FAT 形式と NTFS 形式の両方をサポートし、コンピュータのシステム パーティション全体を暗号化できます。USB フラッシュ ドライブやモバイル ハード ドライブなどの取り外し可能なポータブル ストレージ デバイス。

BitLocker は、暗号化に AES (Advanced Encryption Standard/Advanced Encryption Standard) 128 ビットまたは 256 ビット暗号化アルゴリズムを使用します。暗号化の安全性と信頼性が保証されています。通常の状況では、パスワードが十分に強力である限り、この暗号化を解読することは困難です。そのため、証拠収集や事件に関係するコンピュータやUSBメモリなどがBitlockerで暗号化されている状況に遭遇した場合、暗号を解読して関係データを入手することが特に重要になります。

1. 復号化のアイデア

BitLocker暗号化プロセス

ディスクの BitLocker 暗号化の方法は非常に簡単です。リソース マネージャーを開き、暗号化するディスク パーティションを右クリックし、[BitLocker を有効にする]を選択します。(暗号化は、 「コントロール パネル」 - 「システムとセキュリティ」 - 「BitLocker ドライブ暗号化」でも有効にして管理できます。)

「BitLockerを有効にする」をクリックした後、新しいポップアップウィンドウで暗号化ドライブのパスワードを設定し、入力後に「次へ」をクリックして、回復キーを保存する場所を選択します。

一般に、回復キーを USB フラッシュ ドライブに保存するか、印刷する方が安全です。この方法では、暗号化されたドライブと回復キーが別々に保管され、セキュリティが強化されるためです。ただし、実際の状況では、トラブルを避けるために回復キーがハードディスクに保存される場合があり、これにより復号化の可能性も得られます。

その後、BitLocker がドライブ全体の暗号化を開始します。BitLocker はドライブの暗号化と復号化に時間がかかり、ユーザーは長時間待つ必要があります。暗号化が完了すると、元のディスクのアイコンに追加のロックが表示され、ドライブが暗号化されたことを示します。

あなたが好きかもしれない関連:コンピュータ上の隠しファイルを回復する方法

BitLocker暗号化プロセス

2.復号アイデアの分析

アイデア 1: パスワードを検索して復号化する

関連するすべてのメディアからパスワード関連データを取得し、そのデータを辞書に整理してから、対応する復号化ツールを使用して復号化または総当たり攻撃を行います。この方法は不確実性が大きいため、状況に応じて選択する必要があります。

アイデア 2: 回復キーを使用して復号化する

BitLocker 暗号化プロセスを通じて、暗号化設定中に回復キーが生成されることがわかります。通常、誰もが回復キーを「ファイルに保存」方法で保存します(通常、Microsoft アカウントの登録は選択しませんし、印刷すると紛失しやすいため、多くの場合、ファイルに保存することを選択します)。このようにして、回復キーは TXT ファイルとして記憶媒体に保存されます。

パスワードを検索して復号化する

TXTテキストデータがメディアに格納される場合、最下層はプレーンテキストで格納されます。TXTが削除されても、ボトムデータが上書きされない限り、ボトムキーワード検索と通常のマッチングを通じて回復キーを見つけることができます。

アイデア 3: その他

場合によっては、暗号化された USB フラッシュ ドライブやモバイル ハード ドライブなどの特定のメディアを介して、関連するコンピュータで自動ロック解除機能が開始されることがあります。暗号化されたメディアのロックを解除するには、ケースに関係するメディアを対応するコンピュータに接続するだけです。

暗号化されたメディアのロックを解除する

復号化された BitLocker で暗号化されたコンピューター メモリ イメージから BitLocker キーを抽出します。この方法については説明されていません。該当する情報はご自身で見つけることができます。

コンピュータのデータ復旧
ワンクリックで Windows/Mac コンピュータからファイルを取り戻します。

3.事例演習

現在、この事件には BitLocker によって暗号化されたコンピューター パーティションが含まれています。関連するデータを取得するには、パーティションを復号化する必要があります。事件に関係したコンピューターのハードディスクイメージが完成した。

検査材料: 001.DD

オペレーティング ソフトウェア: winhex、DRS6800 データ リカバリ システム

復号化のアイデア:回復キーによる復号化

イメージ ファイルを取得し、winhex にロードして、キーワード「回復キー」の完全な検索を実行します(キー テキスト内の他のキーワードを検索したり、キーのルールに基づいて通常の一致検索を実行したりすることもできます)。手順は次のとおりです。

ステップ 1:検索精度を向上させるために、16 進検索が実行され、「回復キー」が新しい TXT に書き込まれ、UTF-16 LE エンコード形式の TXT テキストとして保存されます。また、関連するコンピュータに対応するオペレーティング システムのバージョンによって、回復キーの TXT ファイルが生成されます (通常、保存されたキー TXT ファイルは UTF-16 LE エンコード形式で保存されます)。

BitLockerで暗号化されている

ステップ 2: winhex を介して「回復​​キー」を含む txt テキストを開き、「回復キー」に対応する 16 のメカニズム番号をコピーします。

ステップ 3: winhex を通じて 001.DD を開き、イメージをディスクに変換します。

winhex による回復キー

ステップ 4:コピーした「回復キー」に対応する 16 のメカニズム番号を使用して、開いた 001.DD イメージ ファイルを完全に検索し、回復キーに関連するレコードを見つけて、次のステップの復号化と回復キーの検証に進みます。 。

前の手順で見つかった回復キーを復号化して確認し、DRS6800 データ回復システムのデータ回復モジュールに入り、001.DD イメージをロードし、イメージ内の暗号化されたパーティションを右クリックして、[Unlock Bitlocker] を選択し、回復キーを入力します。復号化し、「クイックスキャン」を選択します。暗号化されたパーティションデータを取得できます。

4.まとめ

  • 回復キー ファイルは、事件に関係する関連メディアに保存されている可能性があり、USB のプラグとアンプラグの記録などの追跡に基づいて関連メディアをすぐに見つけることができます。
  • Bitlocker は、オペレーティング システムのバージョンが異なるために互換性の問題が発生する可能性があります。Windows システムに付属の Bitlocker を使用して復号化する場合は、関連するメディアと同じオペレーティング システムのバージョンを選択するように注意する必要があります。
  • すでに復号化された状態にあるパーティションまたは USB メディアの場合、証拠はできるだけ早く復号化された状態に修正される必要があります。winhex を介して復号化されたパーティションを直接開くことで、パーティション イメージを修正できます。ディスクを開いてからパーティションを開いて問題を修正した場合でも、パーティションは暗号化されたままであることに注意してください。
  • すでに復号化された状態にあるパーティションまたは USB メディアの場合、予期せぬ状況によってメディアが再度暗号化された状態になることを防ぐために、右クリックして復号化された状態の BitLocker 操作バックアップ回復キー ファイルを管理できます。

言語スイッチ