热重启(硬重启)获取Bitlocker密钥取证

计算机内存(条)在系统运行时存储了大量敏感信息,当断电后,内存中的数据荡然无存。反之,当一直通电的情况下,内存中的一些敏感数据一直存在。当然,正如某些人了解的,当断电后,对内存条进行“冷氮保鲜”(Cold Boot Attack)也是有机会获取内存中敏感数据的。

系统在重启过程中,实际并没有关闭电源,内存条一直处于通电状态,因此存储在内存中的数据一直存在。

一般情况下,当我们点击Windows系统中的“重启”按钮后,系统在重启过程中,出于安全考虑,会清除存储在内存中的敏感数据信息,如Bitlocker VMK密钥等,这种重启系统的方式称之为“软重启”。软重启时,系统主动抹去敏感信息,此时即使重启过程中内存没有断电,内存中也不存在可用的敏感数据。

另外一种情况,当电脑存在Reset物理按钮,提供强制重启系统的功能,这种重启系统的方式称之为“硬重启”。此时,没有给Windows系统清理内存的机会,并且硬重启过程中,内存也是没有断电的,内存中的敏感信息在下次系统重新启动前会一直存在。这就给获取内存敏感信息以可乘之机。

Reset按键 

为了实现获取内存中的敏感信息,需要在“硬重启”开始后,并且在下一次系统加载之前,对内存中的数据进行转储。如果在“硬重启”后启动了系统,那就导致内存中上一次保留的敏感数据被新的数据覆盖,无法获取有效的敏感信息。

这里构造一个环境,模拟在内存中遗留敏感数据(VMK密钥)。在磁盘管理中,创建一个512MB大小的虚拟磁盘(VHD虚拟磁盘),这里之所以创建一个小一点的虚拟磁盘,是因为方便后面在加密磁盘时能快速加密完成,节省时间。虚拟机创建好后,初始化磁盘、创建分卷、格式化为NTFS文件系统,然后对其进行Bitlocker密码方式加密,如下图所示,可以看到Bitlocker已加密,并且当前该分区(新加卷(I:))处于解锁状态。

因为加密的分区当前处于解锁状态,所以,实际上在物理内存中缓存着该分区解密的密钥,如VMK密钥。此时,在开机状态下,获取系统的物理内存(DumpIt、Winpmemd等),然后通过内存分析软件的分析,是可以获取到该分区的VMK密钥的。

但是,本次并不是通过这种方式获取内存镜像,因为假设此时系统处于锁屏状态,并且我们没有系统用户的登录密码,无法登录进入系统,也就无法在开机状态下拿到目标系统的内存镜像。所以,本次将通过硬重启的方式获取物理内存镜像,然后提取VMK密钥。

这里我们利用Passware提供的一个工具,Passware Bootable Memory Imager(简称PBMI),该工具实现一个小型系统,通过UEFI方式引导启动,这样就尽可能小的覆盖内存数据,防止内存中遗留的敏感数据被覆盖掉。小型系统启动后,读取物理内存数据,转储到文件中。

制作启动引导U盘

首先,找一个足够大的U盘或硬盘,因为现在的电脑配置的内存条容量都比较大,这里建议至少64GB,方便容下后面获取内存镜像文件。在U盘或硬盘中创建一个FAT32分区,然后将pbmi-data.bin中的EFI文件夹解压释放到FAT32分区跟目录中(pbmi-data.bin文件实际是一个zip压缩包文件,这里通过7zip打开),这样就实现了一个UEFI引导启动分区ESP。

pbmi-data.bin中EFI文件夹中的文件

然后,在目标系统处于锁屏状态时,按Reset物理按键,开始“硬启动”,当出现电脑Logo时按F8(不同电脑按键不同)进入启动项选择,选择从我们创建的启动盘启动,进入如下界面

选择“Run Passware Bootable Memory Imager” 按Enter回车键,开始读取内存数据转储到内存镜像文件,如下图所示

内存镜像获取完成后,在FAT32分区的根目录下生成了多个内存镜像文件,文件最大2GB。这是因为FAT32文件系统最大支持4GB文件大小,当物理内存大于4GB时,需要分片存储,才能完整保存所有的内存数据。

最后,通过自己开发的Bitlocker密钥(VMK密钥)分析工具、Bitlocker恢复密钥提取工具,挨个分析上面的内存镜像分片文件,成功提取到VMK密钥以及恢复密钥,得到Flag。

分析内存镜像提取VMK密钥 

提取明文恢复密钥 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/29708.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

管道光电液位传感器应用在哪些设备

管道光电液位传感器在现代智能设备中扮演着至关重要的角色,特别是在需要检测水管缺水的应用场景中。与传统的浮球开关相比,这种传感器具有高可靠性、稳定性和不易卡死等优点。其先进的光学感应原理无需机械运动,确保了长久的寿命和稳定的性能…

《CGT行业监管及上市路径解析》——锦天城高级合伙人虞正春先生在线分享

细胞和基因治疗(Cell and Gene Therapy, CGT)已成为近年来全球药物研发的热点与前沿领域,也得到了国家政策的大力支持。《“十四五”生物经济发展规划》中提到“发展基因诊疗、干细胞治疗、免疫细胞等新技术”,“围绕加快创新药上…

Spring中事务的隔离级别和传播机制

上一篇博客中讲解了关于事务的两种使用方式包括Transactional的详解。 Transactional 注解当中的三个常⻅属性: 1. rollbackFor: 异常回滚属性. 指定能够触发事务回滚的异常类型. 可以指定多个异常类型 2. Isolation: 事务的隔离级别. 默认值为 Isolation.DEFAULT 3. propagat…

短视频矩阵系统:高效运营,解决多账号管理难题

前言 在当下短视频风靡的时代,如何高效管理和运营多个短视频账号,成为了众多运营者面临的挑战。而今,一款全新的短视频矩阵系统应运而生,它不仅融合了AI文案生成与剪辑模式等先进功能,更支持多平台授权,助…

超分辨率重建——2022冠军RLFN网络推理测试(详细图文教程)

💪 专业从事且热爱图像处理,图像处理专栏更新如下👇: 📝《图像去噪》 📝《超分辨率重建》 📝《语义分割》 📝《风格迁移》 📝《目标检测》 📝《暗光增强》 &a…

如何用Vue3打造一个炫酷的树状图

本文由ScriptEcho平台提供技术支持 项目地址:传送门 基于 Vue.js 的 Treemap 可视化组件 应用场景介绍 Treemap 可视化组件是一种强大的工具,用于以直观的方式展示分层数据。它将数据点绘制为矩形,其中每个矩形的大小与数据点的大小成正比…

阿里云平台创建设备及连接

使用阿里云平台创建项目,利用MQTT.fx软件配置相关的连接,在软件上完成消息的订阅与推送,与手机APP进行同步数据。了解MQTT相关的协议。 1.注册阿里云平台账号,完成实名注册! 618创新加速季_新迁入云享5亿算力补贴-阿里…

JCR一区 | Matlab实现GAF-PCNN、GASF-CNN、GADF-CNN的多特征输入数据分类预测/故障诊断

JJCR一区 | Matlab实现GAF-PCNN、GASF-CNN、GADF-CNN的多特征输入数据分类预测/故障诊断 目录 JJCR一区 | Matlab实现GAF-PCNN、GASF-CNN、GADF-CNN的多特征输入数据分类预测/故障诊断分类效果格拉姆矩阵图GAF-PCNNGASF-CNNGADF-CNN 基本介绍程序设计参考资料 分类效果 格拉姆…

【网络编程开发】16.域名解析与http服务器实现原理

16.域名解析与http服务器实现原理 文章目录 16.域名解析与http服务器实现原理gethostbyname 函数HTTP的操作过程实现httphome.htmlhttp-head.txtserver.c gethostbyname 函数 原型&#xff1a; #include <netdb.h> struct hostent *gethostbyname(const char *hostname);…

技巧|手机上看SwanLab实验的两种方法

什么是SwanLab? SwanLab是一个深度学习实验管理与训练可视化工具&#xff0c;由西安电子科技大学创业团队打造&#xff0c;融合了Weights & Biases与Tensorboard的特点&#xff0c;可以记录整个实验的超参数、指标、训练环境、Python版本等&#xff0c;并可视化图表&…

google chrome浏览器安装crx插件Jam

先上一张图&#xff1a; Jam是bug报告生成插件 1、在地址栏中输入chrome://extensions/&#xff0c;然后回车。 2、将下载好的crx插件&#xff0c;直接拖到里面就可以完成安装工作了。 3、测试了一下jam插件&#xff0c;发现直接没有响应。 4、点击【移除】直接可以删除插件…

这四个有意思的工具,很香

提醒英雄 提醒英雄应用是一款能够帮助用户彻底解决健忘症的应用程序。该应用创建的事项会完全同步到通知中心&#xff0c;并且持续保持在锁屏界面上&#xff0c;只要打开手机&#xff0c;用户就会看到之前设置的提醒事项。这种设计确保了用户在任何时候都能及时收到提醒&#…

YOLOv10改进 | 注意力篇 | YOLOv10引入Polarized Self-Attention注意力机制

1. Polarized Self-Attention介绍 1.1 摘要:像素级回归可能是细粒度计算机视觉任务中最常见的问题,例如估计关键点热图和分割掩模。 这些回归问题非常具有挑战性,特别是因为它们需要在低计算开销的情况下对高分辨率输入/输出的长期依赖性进行建模,以估计高度非线性的像素语…

JavaFX DatePicker

JavaFX DatePicker允许从给定日历中选择一天。DatePicker控件包含一个带有日期字段和日期选择器的组合框。JavaFX DatePicker控件使用JDK8日期时间API。 import javafx.application.Application; import javafx.scene.Scene; import javafx.scene.control.DatePicker; import j…

004-配置交换机ssh远程登录

配置交换机ssh远程登录 注意事项 要远程的本机电脑必须与该交换机在同一个网段&#xff0c;以下实验在172.16.12段下模拟&#xff0c;本地ip设置为172.16.12.10&#xff0c;交换机的ip设置为172.16.12.254 将密码设置为明文&#xff08;simple&#xff09;是不安全的&#x…

C++实时检测耳机的插入与拔出(附源码)

目录 1、实现继承于IMMNotificationClient接口类的CMMNotificationClient类,实时感知音频设备变化的通知事件 2、在CMMNotificationClient的构造函数中初始化多媒体设备COM接口,设置回调类指针 3、通过获取音频设备接口下外设的KSJACK_DESCRIPTION 信息判断耳机的连接状态…

猫头虎分享已解决Bug || 前端领域技术问题解析

原创作者&#xff1a; 猫头虎 作者微信号&#xff1a; Libin9iOak 作者公众号&#xff1a; 猫头虎技术团队 更新日期&#xff1a; 2024年6月6日 博主猫头虎的技术世界 &#x1f31f; 欢迎来到猫头虎的博客 — 探索技术的无限可能&#xff01; 专栏链接&#xff1a; &…

从老花眼开始

三年前&#xff0c;博主的的火眼金睛开始老花了&#xff0c;表现就是看近处看不清了。人眼对可视距离的标准可以定义为&#xff1a;看手机为近距离&#xff0c;看电脑为中距离&#xff0c;看电视为中距离&#xff0c;看红绿灯为远距离。老花眼就是戴近视眼镜直接看手机看不清了…

聆思CSK6大模型+AI交互多模态开源SDK介绍

视觉语音大模型 AI 开发套件( CSK6-MIX )是围绕 CSK6011A 芯片设计的具备丰富语音图像功能与硬件外设的开发板&#xff0c;采用具备丰富组件生态的 Zephyr RTOS作为操作系统&#xff0c;官方提供了十几种开源SDK&#xff0c;包含大模型语音交互、大模型拍照识图、文生图、人脸识…

如何在不同的操作系统中查看路由器的IP地址?这里有详细步骤

如果你曾经需要访问路由器的设置页面来进行一些配置更改,你知道你需要路由器的IP地址才能访问。如果你忘记了这个IP地址是什么,下面是如何在几乎所有平台上找到它的。 为什么路由器的IP很有用 在网络世界中,默认网关是一个IP地址,当流量被发送到当前网络之外的目的地时,…