计算机内存(条)在系统运行时存储了大量敏感信息,当断电后,内存中的数据荡然无存。反之,当一直通电的情况下,内存中的一些敏感数据一直存在。当然,正如某些人了解的,当断电后,对内存条进行“冷氮保鲜”(Cold Boot Attack)也是有机会获取内存中敏感数据的。
系统在重启过程中,实际并没有关闭电源,内存条一直处于通电状态,因此存储在内存中的数据一直存在。
一般情况下,当我们点击Windows系统中的“重启”按钮后,系统在重启过程中,出于安全考虑,会清除存储在内存中的敏感数据信息,如Bitlocker VMK密钥等,这种重启系统的方式称之为“软重启”。软重启时,系统主动抹去敏感信息,此时即使重启过程中内存没有断电,内存中也不存在可用的敏感数据。
另外一种情况,当电脑存在Reset物理按钮,提供强制重启系统的功能,这种重启系统的方式称之为“硬重启”。此时,没有给Windows系统清理内存的机会,并且硬重启过程中,内存也是没有断电的,内存中的敏感信息在下次系统重新启动前会一直存在。这就给获取内存敏感信息以可乘之机。
Reset按键
为了实现获取内存中的敏感信息,需要在“硬重启”开始后,并且在下一次系统加载之前,对内存中的数据进行转储。如果在“硬重启”后启动了系统,那就导致内存中上一次保留的敏感数据被新的数据覆盖,无法获取有效的敏感信息。
这里构造一个环境,模拟在内存中遗留敏感数据(VMK密钥)。在磁盘管理中,创建一个512MB大小的虚拟磁盘(VHD虚拟磁盘),这里之所以创建一个小一点的虚拟磁盘,是因为方便后面在加密磁盘时能快速加密完成,节省时间。虚拟机创建好后,初始化磁盘、创建分卷、格式化为NTFS文件系统,然后对其进行Bitlocker密码方式加密,如下图所示,可以看到Bitlocker已加密,并且当前该分区(新加卷(I:))处于解锁状态。
因为加密的分区当前处于解锁状态,所以,实际上在物理内存中缓存着该分区解密的密钥,如VMK密钥。此时,在开机状态下,获取系统的物理内存(DumpIt、Winpmemd等),然后通过内存分析软件的分析,是可以获取到该分区的VMK密钥的。
但是,本次并不是通过这种方式获取内存镜像,因为假设此时系统处于锁屏状态,并且我们没有系统用户的登录密码,无法登录进入系统,也就无法在开机状态下拿到目标系统的内存镜像。所以,本次将通过硬重启的方式获取物理内存镜像,然后提取VMK密钥。
这里我们利用Passware提供的一个工具,Passware Bootable Memory Imager(简称PBMI),该工具实现一个小型系统,通过UEFI方式引导启动,这样就尽可能小的覆盖内存数据,防止内存中遗留的敏感数据被覆盖掉。小型系统启动后,读取物理内存数据,转储到文件中。
制作启动引导U盘
首先,找一个足够大的U盘或硬盘,因为现在的电脑配置的内存条容量都比较大,这里建议至少64GB,方便容下后面获取内存镜像文件。在U盘或硬盘中创建一个FAT32分区,然后将pbmi-data.bin中的EFI文件夹解压释放到FAT32分区跟目录中(pbmi-data.bin文件实际是一个zip压缩包文件,这里通过7zip打开),这样就实现了一个UEFI引导启动分区ESP。
pbmi-data.bin中EFI文件夹中的文件
然后,在目标系统处于锁屏状态时,按Reset物理按键,开始“硬启动”,当出现电脑Logo时按F8(不同电脑按键不同)进入启动项选择,选择从我们创建的启动盘启动,进入如下界面
选择“Run Passware Bootable Memory Imager” 按Enter回车键,开始读取内存数据转储到内存镜像文件,如下图所示
内存镜像获取完成后,在FAT32分区的根目录下生成了多个内存镜像文件,文件最大2GB。这是因为FAT32文件系统最大支持4GB文件大小,当物理内存大于4GB时,需要分片存储,才能完整保存所有的内存数据。
最后,通过自己开发的Bitlocker密钥(VMK密钥)分析工具、Bitlocker恢复密钥提取工具,挨个分析上面的内存镜像分片文件,成功提取到VMK密钥以及恢复密钥,得到Flag。
分析内存镜像提取VMK密钥
提取明文恢复密钥
