看到了一篇 bitlocker 被警方解密的文章

近日，我司接到某地市公安的案件技术协助请求，要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查，通过前期排查，已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押，该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动，然而警方发现嫌疑人有案底，十分狡猾，具有很强的反侦察意识，电脑使用了 BitLocker 加密技术对硬盘进行加密，拒不承认自己与案件相关，不交代电脑的开机密码，案件陷入僵局。

经过预检发现，硬盘系统分区有 Bitlocker 加密。警方通过多种方法尝试，联系了国内的多家电子数据取证公司，耗费一个多星期到各地寻找破解加密磁盘的方法，结果都无法解密加密磁盘的数据，最后辗转找到我司寻求技术支援。

完成嫌疑人笔记本电脑的全盘镜像后，尝试使用我司的秘密武器 CSIR-5000 （临机绕密取证设备）对启用 TPM+PIN 保护的 BitLocker 加密的 Windows 10 系统进行破解。该设备采用内存直接访问(DMA)攻击技术，通过将内置的无线网卡替换为专用卡，使用专用软件进行内存扫描，刚开始遇到无法访问内存问题，发现该电脑默认启用了“快速启动“机制造成，经过调试，很快在十多分钟内就成功绕过 Windows 10 系统的锁屏密码，随意输入一个密码进入系统后，运行一个简单的命令行，成功获取到了该 BitLocker 加密磁盘的 48 位的恢复密钥。该绕密取证过程全程进行了录像，确保符合司法要求。

使用我司的取证神探取证分析软件加载硬盘镜像，输入提取的 48 位 BitLocker 恢复密钥，成功解密了硬盘数据。经过对解密后的数据分析，我们发现嫌疑人有很强的反侦察经验，电脑上安装了反取证软件，经常对计算机痕迹进行擦除。经过我们不懈的努力，最终还是找到了连接服务器的历史记录，根据这些线索，把服务器等其他的线索串连起来，形成了证据链。此外，还在硬盘镜像中发现了 1 个 iPhone 手机备份及 1 个 iPad 备份、两个 iOS 设备的 Lockdown 密钥数据，并解析出了部分有价值的数据。

我连夜换用 dm-crypt

低情商：Bug
高情商：法制友好机制

开机即解锁确实危险

直接读内存？

数据盘单独开加密，不开启自动解密

不会真的有人觉得靠 windows 自带的加密就特别安全了吧.

这个恐怕是启动盘没加密，然后又启用了自动解密（数据盘默认就是自动解密的）
只设置了登入密码，没设置 preboot 加密
解密之后内存里就有密钥数据了

如果是 preboot 密码，那不知道密码应该是无法打开 TPM 的（除非 TPM 有 bug ）

另外，TPM intrusion detection 就是为了处理这种情况。如果有人开盖，TPM 自动上锁，需要 BIOS 管理员密码才能重置。

@ryd994 bitlocker 只有在启动盘设置了加密的情况下才能自动解密

应该是通过 PCIe 进去的吧，通过 PCIe 去读写 memory, TPM 也放不了

这个每季度都能在 V2 看到一次..

原来是卖设备的。。。。

@FutureApple 启动盘分 preboot 加密和 boot 之后 pin 解密
boot 之后才用 pin 解密的话基本就等于没加密
我自用电脑就是 pin 解密，少输一次密码比较方便，没什么敏感内容

非 preboot 加密的主要意义是卖二手硬盘时只需要销毁密钥，有助于保护隐私。但是对于敏感数据来说是不够用的。

公司电脑就是有 preboot+intrusion detection ，一旦开盖电脑就作废，只能用于处理非敏感工作内容。我就见过有人电脑摔了一下，然后就被锁了。

@rockyzhang TPM 确实防不了内存数据读取。但是核心问题是这个密钥在没有 TPM 密码的情况下就不应该出现在内存里。

注意“十多分钟内就成功绕过 Windows 10 系统的锁屏密码，随意输入一个密码进入系统”其实到这一步就已经不行了。后面用 pcie 卡读密钥只是为了方便后面的取证。

preboot 加密就是为了应对这个问题。

@recolic 不好意思，你去搜一下 dm-crypt 锅更大

有没有三天不登录自动销毁硬盘的工具

开源 pcileech 应用实践

所以 Mac T2 是怎么解密的

收藏了，研究刑法收入的时候用

@cherryas 前段时间甲方有个笔记本应该是原使用者走了，现在有新的使用者，但不知道密码。就找到我的项目经理，然后找到我，说重装系统也可以。我很烦，不想重装，甲方有负责装系统的部门，不找他们让我装，装坏了算谁的。我仔细问才告诉我是密码不知道，也不想去问。我直接拿我 u 盘里的 pe 把 win 密码删了。看完甲方和经理都震惊了，甲方领导还一个劲说太不安全了，难怪要搞国产系统什么的，我甚至怀疑他认为这个是美帝微软故意留得后门…

好家伙

tpm 加密的安全性是有条件的。bios 必须设置密码，secureboot 必须打开，iommu 必须打开。如果 biso 设置有变更（比如清除密码），或者 pcie 硬件有变更（比如 pcie 设备的 oprom 可以藏代码），或者启动引导有变更（比如 patch 过的 Windowsloader ），tpm 的 pcr 签名都会改变，就不自动解密了。 比如我电脑加增加或者移除一个 u.2 的 ssd ，开机就要重新输入超长解密密钥，最后解决方法是，拔掉，开机后再动态插上去。

这就是为啥 Win11 要 TPM 2.0 了。

现在哪有纯解密的，都是找漏洞

在天朝的局子里你还有不交出密码的选项？

https://imgs.xkcd.com/comics/security.png

嗨，我是癫佬。
这是我的取证神器，CSIR 是我的秘密武器。
取证 5 分钟，镜像 800G 。
嘘，不要告诉别人哦~

0..单独数据硬盘+VeraCrypt 之类的开源三方加密
1.不管主力系统是 linux 还是 windows ，如果会相应的驱动开发，可以自己再套一层私有透明加密，虽然不能提高密码学安全性，但能提高逆向难度。
2.现在硬件性能这么好，虚拟机放加密硬盘里再启动 :)

对了，Windows 还有个内存保护开关，就是很多人吐槽开启了会影响 vmware 使用的那个。但是那个也一定要打开。 [tpm2.0] [bios 密码] [secureboot] [bios 里 vt-d 与 iommu] [Windows 里内存保护] 同时开启，才能保证安全性。

@Tyuans #20 bitlocker 加密之后 PE 看磁盘是锁上的，无法读硬盘也就没办法修改 Windows 密码

@Tyuans #17 应该告诉领导国产系统密码也是随便改😅

@rockyzhang

“通过将内置的无线网卡替换为专用卡，使用专用软件进行内存扫描”

应该是的，通过特殊硬件插入 mini pcie 接口，然后通过 pcie 通道读取内存。

我怎么看着像编程随想的事件

@Biggoldfish 都你这么说，取证公司也别做生意了…

BitLocker 如果没使用外部密码，又没开启 Windows 的内核隔离，是有安全漏洞的。微软之前自己就出过一个演示视频，利用雷电接口的 DMA 功能就能绕过锁屏密码，因为 BitLocker 没有外部密码自动解锁，就等于被破解了。
总而言之这个问题根本原因是微软没有像 Android iOS macOS 那样，把 BitLocker 解锁密码和用户密码绑定。一个系统不依赖外部密码，而是使用内部密码自解锁的话是不能保证安全的。

@Biggoldfish #25 看你所在的地方了。要是当地案子多，不缺你这一个 KPI ，那应该懒得给你上太多手段

绕过 Windows PIN 码之后就完蛋了，跟 BitLocker 加密没任何关系了

说了一堆，还是得用 mac 才行

@ysc3839 好奇一个问题…

我看我的电脑，dell 4230 ，雷电安全性默认开启的。

但是是不是 pcie 的默认安全性比雷电差。

我看类似的事，都是从网卡下手的，或者说信任了 intel 网卡，是不是嗅探设备模拟成 intel 网卡就行了。

有点意思

看了一下定价，是真便宜啊。原来个人的信息这么不值钱。


3. 你们怎么收费呢？
答：我们严格按照福建省物价局、福建省司法厅制定的司法鉴定收费标（闽价通告〔 2018 〕 32 号）准进行收费，上述文件没有覆盖的项目及疑难情况协商定价。

电子数据搜索、提取 12 元/gb
电子数据恢复 15 元/gb
手机机身数据获取 1000/个
密码破解 1500/个

source：
1. http://www.binarydata.cn/sfjd
2. https://sft.fujian.gov.cn/sfyw/sfjd/tzl_5326/201810/t20181008_4530068.htm

最新版 win11 开启了内核隔离+安全启动+数据加密+CMOS 密码基本就安全了吧？

@TOUJOURSER #16 自己做个三天未登录物理烧毁硬盘的算了

@gdcbhtd 有案底明显不是

我还以为是 bitlocker 本身被破解了，有被吓到。

@liantian 具体情况说不清，反正按微软的态度，是必须开启内核隔离才能保证安全。
另外真的有这么高的安全需求，更建议设置个独立的 BitLocker 解锁密码。

虽然是旧闻 但我还是看完了
整体并不是 bitlocker 加密机制破解, 而是在不严格甚至是错误的配置下被绕过
说实话现在消费级笔记本的 tpm 意义不大, 有的可能实现上不安全, 有的可能芯片本身实现是安全的但电路不安全, 有的可能前面都好了但软件上不安全, 所以不如不用
我目前用的 bitlocker 都是用 password protector 的, 这个是不使用 tpm 的, 没有用户密码是无法解密的

还得是 truecrypt 啊，之前就声讨过 tpm+bitlocker 对用户安全并没有提升多少

记得多年前看到新闻美国 fbi 破解不了 iphone 开机密码找苹果公司被拒绝了，现在连 tg 的安防公司都能随便破解了？

我系统盘不加密…别的分区 yubikey 里的证书加密…应该没啥问题

@HelloAmadeus 微软有文档介绍 Bitlocker 的正确使用方法。锁再结实，为了方便把钥匙放门框上，也没用呀。

在网上嘴巴都是硬的，真进去了怕是交代的比谁都快。

商务本有物理防侵入功能，这加密感觉只加了一半。

我觉得我跟他们的区别就是“不交代电脑的开机密码”，我达不到这种境界，🐶

楼主所说的这个公众号是厦门的一家取证软件公司的。

其实不是破解了加密算法。但是行文上干好像是干了一件很牛逼的事。
主要还是为了推销自己的软件吧。

要方便，所以的安全措施都是自我安慰。

这个内容见过了，早有 V 友发过

其实应该有一个销毁密码，只要输入这个密码系统直接销毁所有数据，万一自己被逼迫要密码时候就给他这个

@danhahaha 我小时候看个电影 有个小孩黑客设置了电脑移动位置开机就直接销毁数据,就为了防止被 jc 拿走调查

如果不用 TPM 加密，而是使用密码+备份密钥的方式加密的 BitLocker 是不是就没法这么破解了？开机不会自动解锁，而是先要求输入 BitLocker 密码再输入锁屏密码。

都进去了，还到你不给密码了吗！！！

@fairytale bios 密码指的是 admin 密码吗？还是 user 密码？

@gdcbhtd #32 我一开始也以为是，后面一看这篇文章发布时间是 2020 年 7 月，那肯定不是他了。

学编程随想，进去前把密钥毁了，自己都进不去

@iridium945 #63
编程随想被抓好久了吧，只是最近判决

都本地保存密码了，还有什么可谈的！

养成直接用 Linux Live 的习惯！

@zlfoxy 难道是那个在每个国产 Android 手机都植入“MFSocket”取证终端的“美亚柏科”公司 :)

老爷：“你们讨论这么多，以为没有证据我就不能判了？幼稚”

能破解 MAC 的加密吗?能的话 给你们点个赞

神 tm 不交代开机密码，你知道啥叫躲猫猫么？

@x86 还真不能交代，之前看 v 站好像有个帖子就是老实交代反倒比不交代的倒了霉，出事了还是尽快想办法联系律师才对。

@danhahaha 还得是物理销毁，防止找回

@churchmice 好奇是什么锅，搜了下只找到在内存搜索密钥的

@wenhaoy 随便，目的是，如果别人把 bios 设置动了后，比如关了 vtd ，关了 iommu ，开了 opron……，要让 pcr 签名失效。（但不确定各家 bios 哪些地方做了 pcr 签名。但设了密码，那拆电池，一定失效。）

就是 CIA 来了他也是这么搞...

veracrypt 有提到内存保护的方案
https://www.veracrypt.fr/en/Unencrypted%20Data%20in%20RAM.html

IOS 都能破解!

@Tyuans #20 通过 PE 可以删除原来的 win 密码吗？那 win 密码岂不是形同虚设了

@kawaii303 #78 删的是登录密码。都物理接触了，明文硬盘数据还不是随便考。

当地公安明明可以选择大记忆恢复术，但是还是选择了通过技术手段来攻破，真的，我哭死

@gdcbhtd 编程随想用的是 Linux 啊，而且是 keyfile

说 mac 破解我是不信的，芯片级别的加密，可以这样说，能破解的人能力要远高于制造 apple 芯片的人

现在用的 PGP desktop , 不知道安全不

@random1221 21 年抓的

@fairytale 感谢解答，我是 intel nuc 。今天设了 bios admin/user 密码

@gdcbhtd 应该不是他
他反对用 Windows ，建议用 Linux
他反对用 VPN ，建议用 tor
他建议用 keyfile 做磁盘加密

@liantian 几乎所有的软件防护（ BIOS 也是软件）在硬件入侵的面前都没用。有一些技术可以应对硬件入侵，比如游戏机的 DRM 。但是一般需要配合专用 CPU 和操作系统。

@zhilvyun1
@luhe
mac 也是基于 x86 硬件，同样支持 dma 。pcie 卡一样可以扫内存。没有 intrusion detection 就是没戏。一楼就说了这个公司也提供破解 mac 的服务。新的 Apple silicon 如果用 TPM 的话也是没戏，但是也可能有专门对应的设计。

编程随想就讨论过为什么 Linux 比 mac 更安全
https://program-think.blogspot.com/2017/03/Why-Linux-Is-More-Secure-Than-Windows-and-macOS.html

保护个人隐私，和保护高价值敏感数据，难度天上地下。商业产品有正规的解决方案。消费级产品就别凑热闹了。

最后，数据安全最重要的始终是人。如果你没有良好的安全意识，而是沉溺于对某个硬件或软件的的信任（或者说优越感）。那你是不可能做到数据安全的。

如果我没记错的话，原来工作接触这块儿，这个东西本来就能解开，最后那段明文显示需要拍照获取，因为解锁密钥较长。

@ryd994 真没什么用，这个人的 bitlocker 需要破解，本身就说明了这个人没犯太严重的事。
在反取证这方面，也就只有 plausible deniability 有那么一丢丢帮助，只要不能隐藏你有密码这件事，你就不可能存在不交出密码的选项，除非你提前销毁了密钥。

@ryd994 TPM/bitlocker/dm-crypt 这些方案，他们的威胁模型就不包括反取证这种情况。

@Jirajine 如果是你这个逻辑的话那什么都没用，因为某些情况并不需要证据
我只是来讨论技术的，我也没有否认社工的作用
5 块钱的扳手基本也可以归类到社工的范围里

所以说 fbi 破解不了 iphone 开机密码就是个笑话吧，有人会认为 FBI 不如 tg 一家公司？

@ryd994 我只是说在这种情况下，TPM/bitlocker 安不安全、有没有后门，都是无关紧要的事情。
数据安全最重要的是明确威胁模型，哪些情况是需要防备的，哪些情况不是。
确实有些情况不需要证据，有足够嫌疑就直接定罪。所以我才说 plausible deniability 只有一丢丢帮助而已，至少它能降低一点嫌疑程度。

或者换一种说法：对于无法隐藏加密存在这件事的加密方案而言，能否被有能力让你交出密码的实体解密根本不重要。

@Jirajine 都能强迫你交出密码的人，还需要证据？
在你的威胁模型里，就不包括需要取证的情况

@gggccc44 其实现在大部分手机的安全性比电脑好。大部分手机是从 bootloader 开始一步步签名，key 写死在 SoC 里。你不 root/越狱的话还真就问题不大。

电脑理论上可以做到这个程度，但是默认没有启用。自己一条条设置太麻烦，而且很容易出错。企业用的是审计过的模板，所有涉密设备都可以追溯。

@BBCCBB 数据在贵州

@suhaocong 我是说国外啊.. 之前美国抓了一个罪犯, 苹果不给开, 找以色列的公司破解的..

@gdcbhtd 文章里面图片被取证电脑桌面有 QQ ，编程随想不会干这种事情吧

关键字 [快速启动] ，不被拿到 key 才奇怪

没有绝对的安全。在分析信息安全的问题时，一定要先列出来威胁模型是什么，再进行防范。
如果已经有商业公司能“破解”（不管是真的破解还是由于配置不当产生的问题） bitlocker 硬盘加密了，说明类以的方法早就在黑客、黑产圈流传了，我们需要引起重视并寻找应对的方法。

普通人需要担心的是自己的电脑假如被偷、被借、修理、或者无人看管时被坏人盗取信息。至于楼上有人提到能不能防警方取证之类的，这根本不是技术讨论的范围。

取证公司对于知识版权侵权相关的，对云服务器似乎可以直接取证相关目录和文件，然后可以使用该证据发律师函