之前都是移动硬盘或者磁盘加密的,第一次遇到U盘bitlocker的,处理中挫折不断的,花了大概一天时间不短测试才恢复出来正常数据,客户是1G优盘通过bitlocker进行加密,但是偶然间U盘无法打开了,提示恢复错误。 下图是winhex的数据统计分析,加密后的数据是很平均的(包括压缩的),通过这个分析,我们可以大致判断数据是否解密成功等。 数据恢复bitlocker并不支持U盘的bitlocker解密,因此我们调用repair-bde(系统自带的bitlocker解密工具)来进行解密,如下图。 但是很可惜,我们解密出来的数据依然是一堆没有意义的密文数据,这里要注意的是bitlocker解密是不需要验证密文正确性的,只要密钥正确,解密机制即可触发,而不像我们压缩包加密那种,密码不对就永远也解不开,bitlocker的解密是不看密文的,因此密文一旦出问题,解密出来的数据也只是相当于做了一次aes加密而已。 那么既然能够正常解密,说明bitlocker盘中metadata数据与密钥是匹配的,没有任何问题,但是密文却无法解开,那么问题肯定处在metadata中了,通过对metadata的研究和分析,顺利解开数据,顺利拿到了其中客户需要的三个office文件。通过此次分析发现微软的bitlocker加密技术并不稳定,还请大家慎用。 |