hsy-x 发表于 2023-6-8 17:29
效果一样就可以 开源不开源无所谓
毕竟压缩软件看到是必装的 平时装的也是7z ...
RAR相对容易暴力破解,VeraCrypt加载虚拟磁盘确认密码有延迟,暴力破解的难度相对很大
沙悟净@蓝领 发表于 2023-6-8 17:35
RAR相对容易暴力破解,VeraCrypt加载虚拟磁盘确认密码有延迟,暴力破解的难度相对很大 ...
RAR又没有曝出后门,爆破难度取决于你的密码长度,看了这个贴子发现好多人连钥匙跟后门都分不清
以前笔记本的副盘吃过一次亏,现在笔记本都是到手就关掉这个bitlocker功能
本帖最后由 沙悟净@蓝领 于 2023-6-8 17:47 编辑
uuyyhhjj 发表于 2023-6-8 17:37
RAR又没有曝出后门,爆破难度取决于你的密码长度,看了这个贴子发现好多人连钥匙跟后门都分不清 ...
先看完整好不好?VeraCrypt的虚拟磁盘格式决定了每次输密码都要10多秒的延迟,暴力破解每次输密码都要等10多秒确认时间,而RAR不需要等这么长的时间,暴力破解更快
夏威夷的日出 发表于 2023-6-8 15:42
万一哪天系统坏了,无法启动了,这几块硬盘全变废品
你是不是在搞笑,如果系统坏了磁盘加密就无解了那要密钥干什么,要tpm干什么?
沙悟净@蓝领 发表于 2023-6-8 16:17
微软的加密肯定有后门,密钥都保存在微软服务器上,
开源的VeraCrypt源代码公开,可以全盘加密,也可以 ...
说话都得讲证据不是吗,bitlocker你完全可以不联网的机器进行加密,密钥就在本地,谁说一定要保存在ms服务器的?
能保存密钥在云端就代表有后门?那1Password BitWarden之流是不是都有后门?
假设ms明文保存密钥,知道你密钥是什么,硬盘都在你手里,他有密钥有啥用?
tpm设备都在国内合法开卖,也没见国家安全局有跳出来说这玩意有后门
全凭一张嘴是吧
沙悟净@蓝领 发表于 2023-6-8 10:35
搜一下就知道了,rufus使用超级简单,只要会用电脑就会制作启动盘
现在启动盘喜欢用ventoy, 放几个iso进去自己选就好...还不影响u盘
用的改版系统,没这情况[震惊]
怎么看有没有被加密啊
沙悟净@蓝领 发表于 2023-6-8 16:52
VeraCrypt已经被多方审查过源代码,如果你觉得有问题,源代码在官网可以下载查看。
我用VeraCrypt生成了 ...
账号密码都存在keepass里, 用证书+密码加密, 用起来比较方便, 还能自动填充
本帖最后由 沙悟净@蓝领 于 2023-6-8 18:03 编辑
evangelion_air 发表于 2023-6-8 17:53
说话都得讲证据不是吗,bitlocker你完全可以不联网的机器进行加密,密钥就在本地,谁说一定要保存在ms服 ...
如果bitlocker没有后门,那为什么取证软件可以轻松获取到恢复密钥?
沙悟净@蓝领 发表于 2023-6-8 18:01
如果bitlocker没有后门,那为什么取证软件可以轻松获取到恢复密钥?
你觉得你这图里memory dump是干啥的,recovery key又是从哪来的?
你发的图难道不是正好作证了bitlocker只能用密钥解开吗?
我都是手动把所有盘的 BitLocker 开起来,这样比较安心
本帖最后由 沙悟净@蓝领 于 2023-6-8 18:25 编辑
evangelion_air 发表于 2023-6-8 18:05
你觉得你这图里memory dump是干啥的,recovery key又是从哪来的?
你发的图难道不是正好作证了bitlocker ...
你哪儿看到事先知道密钥了?如果事先知道密钥还需要破解吗?直接解锁就行了
破解过程:
一个vmdk格式的硬盘,首先需要将它转换成dd格式的镜像
$qemu-img convert -f vmdk win7.vmdk -O raw win7.dd
然后将该dd格式拷贝到kali虚拟机中
1)确定分区布局并识别BitLocker卷
$fdisk -l win7.dd
从扇区41947136开始的最后一个分区是受BitLocker保护的。可以通过查看文件系统头来验证它。使用BitLocker加密的卷将具有与标准NTFS标头不同的签名。BitLocker加密卷以“-FVE-FS-”签名开头。
$hexdump -C -s $((512*41947136)) -n 16 win7.dd
2)找到并转换休眠文件
从扇区4096开始($Boot文件的物理扇区)以只读模式安装系统卷。
$sudo mount -o loop,ro,offset=$((512*4096)) win7.dd /mnt/1
挂载后的C盘的NTFS卷,可以发现休眠文件
转换休眠文件hiberfil.sys为原始数据格式RAW以便进行进一步的取证分析。
Hibernation File也就是系统的休眠文件Hiberfil.sys,位于系统卷的根目录下。windows在系统休眠时,将物理内存中的数据(包括系统运行时的状态数据)dump到Hiberfil.sys,并生成一个有效的文件头。下次系统开机的时候,利用hiberfil.sys文件中的数据恢复系统。
$volatility -f /mnt/1/hiberfil.sys --profile Win7SP1x64 imagecopy -O hiberfil.raw
这里用到了volatility的imagecopy插件
limagecopy:将任何现有类型的地址空间(例如,崩溃转储,休眠文件,virtualbox核心转储,vmware快照或live firewire session)转换为原始内存映像
3)使用bitlocker插件提取FVEK
该插件扫描内存映像以查找BitLocker加密分配(内存池)并提取AES密钥(FVEK: 完整的卷加密密钥)。
$volatility -f hiberfil.raw --profile Win7SP1x64 bitlocker
我们可以看到分析出了FVEK以及TWEAK,采取的加密方式为AES-128,如果是win8以上,可能会出现AES-256。
4)解密并访问卷
使用先前提取的FVEK动态解密bitlocker卷。
$sudo bdemount -k 45b25efb68c5fb59fa9ca19c5dfa219b:7910dec84edd8b03fa639bd3be6be63a -o $((512*41947136)) win7.dd /crypt/1
最后挂载并访问解密后的文件系统。
$sudo mount -o loop,ro /crypt/1/bde1 /mnt/2
$ls /mnt/2
本帖最后由 evangelion_air 于 2023-6-8 18:54 编辑
沙悟净@蓝领 发表于 2023-6-8 18:23
你哪儿看到事先知道密钥了?如果事先知道密钥还需要破解吗?直接解锁就行了
破解过程:
我真的笑死,真的有人打那么多字就是为了打自己脸,搁这秀下限
你贴这么多内容不都是在说从休眠文件找出内存数据dump出来密钥然后解锁bitlocker吗,甚至最后aes解密部分就没说,闹了半天dump出一个加密的玩意,aes怎么过一个字没提
整那么长一段和bitlocker有没有后门有啥关系,你倒是证明了bitlocker只能靠密钥解锁
你让人小偷都进家了你跟我说他在房间里找到了大门钥匙能开大门
沙悟净@蓝领 发表于 2023-6-8 18:01
如果bitlocker没有后门,那为什么取证软件可以轻松获取到恢复密钥?
我帮你生成了一个bitlocker虚拟磁盘文件,里面只有一个txt文本文件,写了一行文本,对这个后门挺感兴趣的,麻烦能利用后门得到里面的内容吗
https://t.wss.ink/f/bema41eus1v
本帖最后由 沙悟净@蓝领 于 2023-6-9 11:18 编辑
evangelion_air 发表于 2023-6-8 18:48
我真的笑死,真的有人打那么多字就是为了打自己脸,搁这秀下限
你贴这么多内容不都是在说从休眠文件找出 ...
我才笑死,事先输入密钥了吗?事先知道密钥了吗?
把锁住的BitLocker卷制作成dd卷挂在kali虚拟机上然后通过提取FVEK,事先输入密钥了吗?
小偷到家门口,发现钥匙放在门缝,这不是留的后门是啥
沙悟净@蓝领 发表于 2023-6-8 19:08
我才笑死,事先输入密钥了吗?事先知道密钥了吗?
把锁住的BitLocker卷制作成dd卷挂在kali虚拟机上然后通 ...
你帮楼上破一下吧,加油
沙悟净@蓝领 发表于 2023-6-8 19:08
我才笑死,事先输入密钥了吗?事先知道密钥了吗?
把锁住的BitLocker卷制作成dd卷挂在kali虚拟机上然后通 ...
你也不看看你贴的都是什么玩意
把磁盘dump成镜像,从里面找到hiberfil.sys并dump成raw,本质还是从内存dump里提取出密钥,前提是目标系统需要启用了休眠
如果本来就禁了休眠,没有hiberfil.sys,他提取个鬼https://cdn.jsdelivr.net/gh/master-of-forums/master-of-forums/public/images/patch.gif
win10不是很老的版本开始 已经是这样了
这不是真正的bitlocker 更类似一个准备状态
像是准备好了给你开bitlocker 你可以在这完全取消,不取消也不会影响什么的
在一些pe还是能看到并且操作打开
本帖最后由 Skyrim 于 2023-6-11 13:47 编辑
我以前c盘试过给加密,重做系统的时候手打了5 60位的密钥。还好微软账户里能看到密钥。以前刚开始升win11那段时间不会搞,不知道动了什么选项加密的
数不清 发表于 2023-6-8 10:17
谁说的,安装某个补丁后台自动加密,只能找序列号升级专业版后解密。
这是变相 抢钱啊
是否开启 BitLocker 加密是由 OEM 厂商在 BIOS 内配置的策略
只不过早期的 Windows 系统并未严格执行此策略,
也就是 OEM 厂商配置了此设备应该加密的策略, Windows 也不会自动开启加密
而在较新的 Windows 中, 就会按照加密策略执行了
即便微软真的对你那一堆破烂文件感兴趣,整个Windows系统,哪里不能开个后门?
你骂“默认打开BitLocker加密”的设置,我没有任何意见。但是能说出“微软利用bitlocker加密来窃取用户信息”的人,我想知道脑子里面到底缺了多少根筋,才能形成这么大的脑洞啊?
Skyrim 发表于 2023-6-11 13:45
我以前c盘试过给加密,重做系统的时候手打了5 60位的密钥。还好微软账户里能看到密钥。以前刚开始升win11那 ...
朋友眼睛不错
数不清 发表于 2023-6-8 10:17
谁说的,安装某个补丁后台自动加密,只能找序列号升级专业版后解密。
见了鬼了,果断解密中……[晕倒]
楼上这么多人没脑子,别人说什么就信什么
我是自己用的台式机笔记本全部开bitlocker加密(系统盘不开,数据盘开)
密码自己记+秘钥存微软账号+本地和网盘(加密)保存,很多备份
存储秘钥信息的文件类型主要是txt,Excel和Markdown
不怕忘记密码或秘钥,只怕数据外泄(本机自动解密也不开,全部手动输密码解密)
不怎么用电脑的亲戚朋友,全部帮他们关了bitlocker加密
tpm secure boot 全开的情况, 品牌机是会自动加密的.