热重启(硬重启)获取Bitlocker密钥取证

计算机内存(条)在系统运行时存储了大量敏感信息,当断电后,内存中的数据荡然无存。反之,当一直通电的情况下,内存中的一些敏感数据一直存在。当然,正如某些人了解的,当断电后,对内存条进行“冷氮保鲜”(Cold Boot Attack)也是有机会获取内存中敏感数据的。

系统在重启过程中,实际并没有关闭电源,内存条一直处于通电状态,因此存储在内存中的数据一直存在。

一般情况下,当我们点击Windows系统中的“重启”按钮后,系统在重启过程中,出于安全考虑,会清除存储在内存中的敏感数据信息,如Bitlocker VMK密钥等,这种重启系统的方式称之为“软重启”。软重启时,系统主动抹去敏感信息,此时即使重启过程中内存没有断电,内存中也不存在可用的敏感数据。

另外一种情况,当电脑存在Reset物理按钮,提供强制重启系统的功能,这种重启系统的方式称之为“硬重启”。此时,没有给Windows系统清理内存的机会,并且硬重启过程中,内存也是没有断电的,内存中的敏感信息在下次系统重新启动前会一直存在。这就给获取内存敏感信息以可乘之机。

Reset按键 

为了实现获取内存中的敏感信息,需要在“硬重启”开始后,并且在下一次系统加载之前,对内存中的数据进行转储。如果在“硬重启”后启动了系统,那就导致内存中上一次保留的敏感数据被新的数据覆盖,无法获取有效的敏感信息。

这里构造一个环境,模拟在内存中遗留敏感数据(VMK密钥)。在磁盘管理中,创建一个512MB大小的虚拟磁盘(VHD虚拟磁盘),这里之所以创建一个小一点的虚拟磁盘,是因为方便后面在加密磁盘时能快速加密完成,节省时间。虚拟机创建好后,初始化磁盘、创建分卷、格式化为NTFS文件系统,然后对其进行Bitlocker密码方式加密,如下图所示,可以看到Bitlocker已加密,并且当前该分区(新加卷(I:))处于解锁状态。

因为加密的分区当前处于解锁状态,所以,实际上在物理内存中缓存着该分区解密的密钥,如VMK密钥。此时,在开机状态下,获取系统的物理内存(DumpIt、Winpmemd等),然后通过内存分析软件的分析,是可以获取到该分区的VMK密钥的。

但是,本次并不是通过这种方式获取内存镜像,因为假设此时系统处于锁屏状态,并且我们没有系统用户的登录密码,无法登录进入系统,也就无法在开机状态下拿到目标系统的内存镜像。所以,本次将通过硬重启的方式获取物理内存镜像,然后提取VMK密钥。

这里我们利用Passware提供的一个工具,Passware Bootable Memory Imager(简称PBMI),该工具实现一个小型系统,通过UEFI方式引导启动,这样就尽可能小的覆盖内存数据,防止内存中遗留的敏感数据被覆盖掉。小型系统启动后,读取物理内存数据,转储到文件中。

制作启动引导U盘

首先,找一个足够大的U盘或硬盘,因为现在的电脑配置的内存条容量都比较大,这里建议至少64GB,方便容下后面获取内存镜像文件。在U盘或硬盘中创建一个FAT32分区,然后将pbmi-data.bin中的EFI文件夹解压释放到FAT32分区跟目录中(pbmi-data.bin文件实际是一个zip压缩包文件,这里通过7zip打开),这样就实现了一个UEFI引导启动分区ESP。

pbmi-data.bin中EFI文件夹中的文件

然后,在目标系统处于锁屏状态时,按Reset物理按键,开始“硬重启”,当出现电脑Logo时按F8(不同电脑按键不同)进入启动项选择,选择从我们创建的启动盘启动,进入如下界面

选择“Run Passware Bootable Memory Imager” 按Enter回车键,开始读取内存数据转储到内存镜像文件,如下图所示

内存镜像获取完成后,在FAT32分区的根目录下生成了多个内存镜像文件,文件最大2GB。这是因为FAT32文件系统最大支持4GB文件大小,当物理内存大于4GB时,需要分片存储,才能完整保存所有的内存数据。

最后,通过自己开发的Bitlocker密钥(VMK密钥)分析工具、Bitlocker恢复密钥提取工具,挨个分析上面的内存镜像分片文件,成功提取到VMK密钥以及恢复密钥,得到Flag。

分析内存镜像提取VMK密钥 

提取明文恢复密钥 

成功解密分区 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/734913.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

NeRF从入门到放弃5: Neurad代码实现细节

Talk is cheap, show me the code。 CNN Decoder 如patch设置为32x32,patch_scale设置为3,则先在原图上采样96x96大小的像素块,然后每隔三个取一个像素,降采样成32x32的块。 用这32x32个像素render feature,再经过CNN反卷积预测…

高考填报志愿(选专业),怎样找准自己的兴趣?

在很多的高考报考指南中,第一要点,都会建议我们根据自己的兴趣来选择自己的专业。很多人虽然是依据这条规则,选择了自己大学的专业。却依然在学习的过程中发现,好像自己对这个专业并不是那么的有兴趣。 甚至对专业学习深入了解之…

MySQL数据库笔记(二)

第一章 单行函数 1.1 什么是函数 函数的作用是把我们经常使用的代码封装起来,需要的时候直接调用即可。这样既提高了代码效率,又提高了可维护性。在SQL中使用函数,极大地提高了用户对数据库的管理效率。 1.2 定义 操作数据对象。 接受参数返回一个结果。 只对一行进行…

探索计算机视觉(人工智能重要分支)的发展与应用

引言 在当今快速发展的科技时代,计算机视觉作为人工智能领域的重要分支,正日益成为各行各业不可或缺的关键技术。从简单的图像处理到复杂的智能系统,计算机视觉的发展不仅改变了我们看待世界的方式,也深刻影响着工业、医疗、交通等…

不同交换机之间相同VLAN间主机通信

1、搭建网络拓扑 搭建拓扑,分配IP地址,划分vlan,分配端口 2、配置交换机 //进入全局配置模式 Switch>enable Switch#config terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname SW1 …

如何级联移位寄存器(74HC595)

在这个项目中,我们将使用 74HC595 移位寄存器将 2 个移位寄存器级联在一起。这样级联移位寄存器现在可以控制 16 个输出。 当然您可以级联任意数量的移位寄存器。如果您要级联第三个移位寄存器,它可以控制 24 个输出。如果您级联第四个移位寄存器&#x…

Rxjava2最全面的解析

说到区别,可能有的小伙伴会问,我没看过rxjava1。可以直接看rxjava2么。个人觉得不必要,因为 rxjava2.x 是按照 Reactive-Streams specification 规范完全的重写的,完全独立于 rxjava1.x 而存在,它改变了以往 rxjava1的…

1999-2022年 297个地级市-医院卫生院数量及床位数量(数据收集)

全国297个地级市的医院卫生院数量的稳步增长是医疗事业发展的一个重要标志。政府的持续投入和对医疗设施的改善,不仅提升了医疗服务的硬件水平,也通过引进和培养医疗人才、优化服务流程,提高了医疗服务的整体质量。这些举措极大地增强了人民群…

WordPress项目教程:自动采集并发布,让你轻松实现网站内容更新

随着互联网的发展,越来越多的人开始关注自己的个人网站,通过网站展示自己的才华、分享知识、推广产品等。然而,个人网站的运营并非易事,尤其是内容更新方面。为了解决这个问题,今天我们将为大家推荐一款WordPress插件主…

测试辅助工具(抓包工具)的使用3 之 弱网测试

1.为什么要进行弱网测试? 1.带宽1M和带宽100M打开tpshop网站效果一样吗? 2.手机使用2G网络和使用3G网络打开京东的效果一样吗? 弱网环境下,出现丢包、延时软件的处理机制,避免造成用户的流失。 2.如何进行弱网测试&…

记一道MO数学练习题

手玩发现, 要么是行共线, 也就是说(1,1)填1之后,(1,4)要填1,(1,7)要填1, 事实上,可以给(1,x)&a…

YOLOv10目标检测算法的使用

目录 一、环境安装 1、创建虚拟环境 2、安装依赖 二、数据集准备 1、预训练权重 2、数据划分 3、建立数据集的yaml文件 三、训练 1、终端运行指令 2、建立一个 python 文件运行 四、验证 1、终端运行指令 2、建立一个 python 文件运行 五、模型推理 1、单张图片推…

AtCoder Beginner Contest 359(ABCDEFG题)视频讲解

A - Count Takahashi Problem Statement You are given N N N strings. The i i i-th string S i S_i Si​ ( 1 ≤ i ≤ N ) (1 \leq i \leq N) (1≤i≤N) is either Takahashi or Aoki. How many i i i are there such that S i S_i Si​ is equal to Takahashi? C…

基于IDEA的Maven(坐标信息介绍和编写)

这篇博客来学习和分析一下: " pom.xml " 所生成的最基本的信息。 之前的博客中讲到,学 Maven 就是学 " pom.xml " 的配置。后面也会围绕这个文件进行学习。 目录 一、分析 pom.xml 文件 (1)分析的 "p…

YOLOv9基础 | 实时目标检测新SOTA,手把手带你深度解析yolov9论文!

前言:Hello大家好,我是小哥谈。YOLOv9是Chien-Yao Wang等人提出的YOLO系列的最新版本之一(截止到目前,YOLOv10已发布),于2024年2月21日发布。它是 YOLOv7的改进版本,两者均由Chien-Yao Wang及其同事开发。本节课就以YOLOv9论文为基础带大家深入解析YOLOv9算法。🌈 …

React+TS前台项目实战(十五)-- 全局常用组件Table封装

文章目录 前言Table组件1. 功能分析2. 代码详细注释3. 使用方式4. 效果展示 总结 前言 在这篇文章中,我们将对本系列项目中常用的表格组件Table进行自定义封装,以提高性能并适应项目需求。后期也可进行修改和扩展,以满足项目的需求。 Table组…

html--404页面

<!DOCTYPE html> <html> <head> <meta http-equiv"Content-Type" content"text/html; charsetUTF-8"> <meta http-equiv"X-UA-Compatible" content"IEedge,chrome1"> <title>404 错误页面不存在&…

【Linux】进程间通信3——线程安全

1.Linux线程互斥 1.1.进程线程间的互斥相关背景概念 临界资源&#xff1a; 多线程执行流共享的资源叫做临界资源。临界区&#xff1a; 每个线程内部&#xff0c;访问临界资源的代码&#xff0c;就叫做临界区。互斥&#xff1a; 任何时刻&#xff0c;互斥保证有且只有一个执行…

一年前 LLM AGI 碎片化思考与回顾系列⑦ · 在SystemⅡ未知之境之中徘徊

阅读提示&#xff1a; 本篇系列内容的是建立于自己过去一年在以LLM为代表的AIGC快速发展浪潮中结合学术界与产业界创新与进展的一些碎片化思考并记录最终沉淀完成&#xff0c;在内容上&#xff0c;与不久前刚刚完稿的那篇10万字文章「融合RL与LLM思想&#xff0c;探寻世界模型以…

乾坤微服务的使用

前言&#xff1a; 在这里整理下用乾坤来开发微服务的一些资料。 使用好处&#xff1a; 使用乾坤可以实现什么效果呢&#xff1f;众所周知&#xff0c;前端的框架五花八门&#xff0c;react/vue/angular等各领风骚&#xff0c;那么如果我们有需要把不同技术栈的项目整合起来&…