打开Bitlocker分区主要有两种方式,一种是通过密码,一种是通过恢复密钥。恢复密钥是创建Bitlocker加密分区时提醒备份或打印的一串8组共48位的字符串。保存的恢复密钥文件默认是txt格式,其中的文字有一定规律,可以被取证软件用来检索恢复密钥。使用取证软件的恢复密钥搜索功能对硬盘镜像进行全盘搜索后,果然在未分配空间找到了一个恢复密钥。使用该恢复密钥尝试解密Bitlocker分区,移动硬盘镜像中的加密分区成功被解密。经检验,里面果然有委托方需要的数据。
硬盘镜像中的Bitlocker分区就没有这么幸运了,只能另外想其他的办法。
山穷水尽疑无路,柳暗花明又一村。当我使用委托方提供的关键词,尝试对硬盘镜像中未加密的系统分区进行搜索,意外发现在一个名为“Everything.db”的文件中有大量命中记录。里面不仅有文件名,还有文件的完整路径!没错,这就是大名鼎鼎的文件搜索工具Everything的索引数据库。经过其他方式综合关联分析,确定了其中一些记录就是未解密的Bitlocker分区中的文件。委托方最终对结果非常满意!
Everything是一款高效的文件搜索工具,我自己也已使用多年,100万的文件在一两秒就可以创建完索引然后快速搜索。我计算机上千万级别的文件,基本也只有Everything能够进行管理和搜索了。我经常在想,如果Everything的快速搜索技术如果能应用到取证软件中就太好了。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论