iOS系統修復工具

從您的 iPhone/iPad/iPod 修復系統。

免費下載
免費下載
Android 資料擷取損壞

恢復損壞的 Android 數據,將 Android 裝置修復至正常狀態。

免費下載
電腦資料復原

一鍵從 Windows/Mac 電腦取回您的檔案。

免費下載
免費下載
iPhone 密碼管理器

輕鬆控制所有 iPhone/iPad/iPod 密碼。

免費下載
免費下載
AI視訊轉換器旗艦版

解決所有視訊轉換器問題。

免費下載
免費下載

[已解決]如何刪除/破解Bitlocker加密?

首頁 > 資源 > 電腦檔案解決方案

BitLocker加密技術是一種廣泛使用的資料保護方法,但其使用也帶來了一些挑戰。本文將詳細介紹如何解除電腦上的BitLocker加密,並協助您解決使用過程中可能遇到的問題。

破解 Bitlocker 加密

BitLocker加密是Windows的資料保護功能。主要用於解決電腦設備實體遺失造成的資料被竊或惡意外洩。它可以支援FAT和NTFS格式,並且可以加密電腦的整個系統分割區。可移動便攜式儲存設備,例如 USB 隨身碟和行動硬碟。

BitLocker 使用 AES(高級加密標準/高級加密標準)128 位元或 256 位元加密演算法進行加密。其加密的安全性和可靠性得到保證。一般情況下,只要密碼夠強,這種加密就很難被破解。因此,在取證時,遇到涉案電腦、USB等被Bitlocker加密的情況時,破解加密並取得涉案資料就顯得格外重要。

指南清單

1、解密思路

BitLocker加密過程

對磁碟進行BitLocker加密的方法非常簡單。開啟資源管理器,右鍵點選要加密的磁碟分割區,然後選擇「啟用BitLocker」(也可以在「控制台」 - “系統和安全性” - “BitLocker 磁碟機加密”中啟用和管理加密。)

按一下「啟用BitLocker」後,在新彈出的視窗中設定加密磁碟機密碼,輸入後按一下「下一步」,然後選擇儲存復原金鑰的位置。

一般來說,將復原金鑰儲存在 USB 隨身碟中或列印出來更安全,因為這樣,加密磁碟機和復原金鑰是分開保存的,提供了更好的安全性。但在實際情況中,有時為了省事,會將恢復金鑰保存在硬碟上,也給了我們解密的可能。

然後 BitLocker 開始加密整個磁碟機。BitLocker對磁碟機進行加密和解密的時間較長,使用者需要等待較長時間。加密完成後,您可以在原始的磁碟圖示上看到一個額外的鎖,這表示該磁碟機已加密。

您可能喜歡的相關內容:恢復電腦上隱藏檔案的方法

BitLocker加密過程

2.解密思路分析

想法一:透過密碼查找解密

從所有涉及的媒體中獲取與密碼相關的數據,將數據組織成字典,然後使用相應的解密工具進行解密或暴力破解。由於這種方法具有很大的不確定性,所以選擇時要根據情況而定。

想法2:透過恢復密鑰解密

透過BitLocker加密過程,我們可以知道在加密設定時會產生恢復金鑰。通常大家都會用「儲存到檔案」的方式來儲存恢復金鑰(通常你不會選擇註冊微軟帳戶,而且列印很容易遺失。所以更多時候,你會選擇儲存到檔案)。這樣,恢復密鑰就會以TXT檔案的形式儲存在儲存媒體中;

透過密碼查找並解密

TXT文字資料在媒體中儲存時,底層是以純文字形式儲存的。即使TXT被刪除,只要底層資料沒有被覆蓋,我們就可以透過底層關鍵字搜尋和正規比對找到恢復金鑰。

想法3:其他

在某些情況下,透過特定的介質,例如加密USB或行動硬碟,可以在相關電腦上啟動自動解鎖功能。我們只需將涉案媒體連接到對應的電腦即可解鎖加密媒體;

解鎖加密媒體

從解密的 BitLocker 加密的電腦記憶體映像中擷取 BitLocker 金鑰。該方法不予描述。您可以自行尋找對應的資訊。

電腦資料復原
一鍵從 Windows/Mac 電腦取回檔案。
免費下載 免費下載 了解更多

3.案例練習

目前,案件涉及的一個電腦分割區已被BitLocker加密。需要解密該分割區才能取得涉及的資料。涉案電腦的硬碟鏡像已完成。

檢驗材料: 001.DD

操作軟體: winhex、DRS6800資料恢復系統

解密思路:透過恢復金鑰解密

取得鏡像檔案並將其載入到winhex中,對關鍵字「恢復金鑰」進行全量搜尋(也可以在金鑰文字中搜尋其他關鍵字或對金鑰的規則進行正規比對搜尋)。步驟如下:

步驟一:為了提高搜尋精確度,會進行十六進位搜索,將「恢復金鑰」寫入新的TXT中,並儲存為UTF-16 LE編碼格式的TXT文字。也可以與涉及的電腦對應的作業系統版本產生恢復密鑰的TXT檔案(通常保存的密鑰TXT檔案以UTF-16 LE編碼格式儲存);

由 BitLocker 加密

第二步:透過winhex開啟包含「恢復金鑰」的txt文本,複製「恢復金鑰」對應的十六個機構號;

第三步:透過winhex開啟001.DD並將鏡像轉換為磁碟;

透過 winhex 恢復金鑰

第四步:使用複製的「恢復金鑰」對應的十六個機制編號,全面搜尋開啟的001.DD鏡像文件,找到與復原金鑰相關的記錄,並進行下一步的復原金鑰解密與驗證。

解密並驗證上一步驟找到的恢復金鑰,進入DRS6800資料恢復系統的資料恢復模組,載入001.DD鏡像,右鍵點選鏡像中的加密分區,選擇解鎖Bitlocker,輸入恢復金鑰即可解密,然後選擇快速掃描。您可以取得加密後的分割資料。

4.總結

  • 恢復密鑰檔案可能儲存在涉案的相關媒體中,根據USB插拔記錄等痕跡可以快速找到相關媒體;
  • 由於作業系統版本不同,Bitlocker 可能有相容性問題。如果使用Windows系統自帶的Bitlocker進行解密,請務必注意選擇與涉及媒體相同的作業系統版本;
  • 對於已經處於解密狀態的分割區或USB介質,需要盡快將證據固定在解密狀態。透過winhex直接開啟解密後的分區即可修復分區鏡像。需要注意的是,如果透過開啟磁碟再開啟分割區的方式修復,則該分割區仍然會被加密;
  • 對於已經處於解密狀態的分割區或USB介質,為了防止意外狀況導致媒體再次處於加密狀態,可以右鍵管理解密狀態下的BitLocker作業備份還原金鑰檔案。

相關文章