在最近的案件协助中发现,有部分电脑的所有分区(包括操作系统所在分区)都通过BitLocker进行了加密,这可能是人为加密或默认加密。无法正常勘验,影响工作进度,甚至无法进行下一步工作,特别是遇到嫌疑人不交代秘钥相关信息的情况下,我们可以进行哪些工作呢?
如果被加密的电脑之前有登录过微软账号的话,那么秘钥一般可以在微软账号中找到。
在嫌疑人不交代秘钥相关信息的情况下,尝试通过嫌疑人的邮箱地址或手机号登录
在获取到微软账号和密码或绑定的手机号后,我们可以通过以下步骤登录并获取BitLocker对应秘钥。绑定手机号的获取,可以尝试扣押的手机检材以及嫌疑人名下的所有号码。
登录微软账号并获取BitLocker秘钥的步骤如下:
1、打开微软官网并使用获取到的微软账号密码进行登录,登录账号可以是电子邮件、电话或Skype。(https://account.microsoft.com/devices/recoverykey,也可以通过搜索引擎所搜该登录页面)
2、这里尝试手机号登录,如果有该手机号的账户存在,就可以进入到输入密码阶段。
点击“忘记了密码?”,然后点击“显示更多验证方法”,可以通过短信或是邮箱验证。
3、使用重置后的密码登录成功后,在主界面选择“设备”,看该账号关联了几台设备,下图账号关联了两台设备,选择对应设备的“查看详细信息”。
5、进入后会显示加密后的设备名称、秘钥ID、恢复秘钥、驱动器和秘钥上传日期。
6、通过上述步骤获得分区BitLocker秘钥后就可以进行下一步工作。
原文始发于微信公众号(网络安全与取证研究):找回BitLocker秘钥不可忽略的一种方式
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/2925965.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论