立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 13|回复: 0

是哪位 mjj 被抓了?

[复制链接]

是哪位 mjj 被抓了?

[复制链接]

3

主题

147

回帖

511

积分

高级会员

积分
511
老爷爷wkjy

3

主题

147

回帖

511

积分

高级会员

积分
511
2023-6-30 23:49:07 | 显示全部楼层 |阅读模式
TPM芯片不用愁,疑难案件获突破

近日,我司接到某地市公安的案件技术协助请求,要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查,通过前期排查,已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押,该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动,然而警方发现嫌疑人有案底,十分狡猾,具有很强的反侦察意识,电脑使用了BitLocker加密技术对硬盘进行加密,拒不承认自己与案件相关,不交代电脑的开机密码,案件陷入僵局。
经过预检发现,硬盘系统分区有Bitlocker加密。警方通过多种方法尝试,联系了国内的多家电子数据取证公司,耗费一个多星期到各地寻找破解加密磁盘的方法,结果都无法解密加密磁盘的数据,最后辗转找到我司寻求技术支援。

我司技术人员先使用公司自主研发的免拆机取证设备-取证前锋对该电脑进行了预检,经过检查发现,该电脑内置了TPM加密芯片,系统分区已使用BitLocker加密。通过镜像工具进行只读模式挂载,发现该加密分区并非是默认基于TPM的Bitlocker加密(即微软定义的“设备加密”),无法直接解密,该机器疑似设置了PIN码。考虑到现场取证流程要符合司法规范,我司技术人员通过嫌疑人笔记本电脑的两个USB接口与免拆机取证设备进行快速镜像,512GB容量硬盘耗时16分钟,速度比传统硬盘拷贝机快不少。

完成嫌疑人笔记本电脑的全盘镜像后,尝试使用我司的秘密武器CSIR-5000(临机绕密取证设备)对启用TPM+PIN保护的BitLocker加密的Windows 10系统进行破解。该设备采用内存直接访问(DMA)攻击技术,通过将内置的无线网卡替换为专用卡,使用专用软件进行内存扫描,刚开始遇到无法访问内存问题,发现该电脑默认启用了“快速启动“机制造成,经过调试,很快在十多分钟内就成功绕过Windows 10系统的锁屏密码,随意输入一个密码进入系统后,运行一个简单的命令行,成功获取到了该BitLocker加密磁盘的48位的恢复密钥。该绕密取证过程全程进行了录像,确保符合司法要求。

使用我司的取证神探取证分析软件加载硬盘镜像,输入提取的48位BitLocker恢复密钥,成功解密了硬盘数据。经过对解密后的数据分析,我们发现嫌疑人有很强的反侦察经验,电脑上安装了反取证软件,经常对计算机痕迹进行擦除。经过我们不懈的努力,最终还是找到了连接服务器的历史记录,根据这些线索,把服务器等其他的线索串连起来,形成了证据链。此外,还在硬盘镜像中发现了1个iPhone手机备份及1个iPad备份、两个iOS设备的Lockdown密钥数据,并解析出了部分有价值的数据。

我司圆满完成了本次疑难案件的技术支援,我司的特色取证设备和技术团队的实战能力都得到了客户的好评,具备实战能力的“神探学院“也一定可以成为国内“精英神探“的摇篮

来源:https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-12-23 05:17 , Processed in 0.013799 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表