BitLocker: Анализ зашифрованных дисков - Руководство 2026

- Полное шифрование диска (Full Disk Encryption)

- Защита данных от несанкционированного доступа

- Защита системы при потере устройства

- Соответствие требованиям безопасности

- Защита конфиденциальной информации

- Защита корпоративных данных

- Представлен в Windows Vista

- Улучшен в Windows 7

- Расширен в Windows 8/10/11

- BitLocker To Go для съемных носителей

- Поддержка сетевых ключей

- Интеграция с Active Directory

- Облачное хранение ключей

- Блокировка доступа к данным

- Требование ключей или паролей

- Необходимость специальных методов

- Сложность анализа без ключей

- Ограничения стандартных инструментов

- Поиск ключей восстановления

- Извлечение ключей из памяти

- Анализ конфигурации BitLocker

- Работа с различными режимами

- Интеграция с инструментами экспертизы

- Зафиксировать использование BitLocker

- Документировать методы защиты

- Записать конфигурацию

- Отметить наличие ключей

- Оценить уровень защиты

- AES (Advanced Encryption Standard)

- Длина ключа: 128 бит или 256 бит

- Режим работы: XTS (XOR-encrypt-XOR)

- Два ключа: для данных и для твидов

- Высокая стойкость шифрования

- TPM (Trusted Platform Module)

- Пароли пользователей

- USB ключи

- Ключи восстановления

- Сетевые ключи (для доменов)

✅ Полное шифрование диска

✅ Прозрачное шифрование для пользователя

✅ Автоматическое включение при загрузке

✅ Интеграция с Windows

✅ Поддержка различных режимов

✅ Управление через групповые политики

✅ Сильное шифрование AES

✅ Защита ключей через TPM

✅ Множественные методы аутентификации

✅ Ключи восстановления

✅ Защита от атак на выключенные системы

⚠️ Требует ключ или пароль для доступа

⚠️ Сложность обхода без ключей

⚠️ Зависит от конфигурации

⚠️ Различные режимы имеют разные уязвимости

⚠️ Работа с BitLocker требует законных оснований

⚠️ Обход защиты возможен только при наличии ключей

⚠️ Взлом шифрования без ключей крайне сложен

⚠️ Документировать все методы получения доступа

⚠️ Использовать только законные методы

⚠️ Сохранять доказательственную ценность данных

. Volume Master Key (VMK):

   - Главный ключ тома

   - Шифрует FVEK

   - Хранится в зашифрованном виде



2. Full Volume Encryption Key (FVEK):

   - Ключ для шифрования данных

   - Шифруется VMK

   - Не хранится открыто



3. Key Protectors:

   - Методы защиты VMK

   - TPM, пароли, USB ключи

   - Ключи восстановления

. Создание ключей:

   - Генерация FVEK

   - Генерация VMK

   - Создание Key Protectors



2. Шифрование:

   - Шифрование данных FVEK

   - Шифрование FVEK через VMK

   - Защита VMK через Key Protectors



3. Хранение:

   - Метаданные в Volume Metadata Block

   - Защищенные ключи

   - Конфигурация BitLocker

Характеристики:

- Длина ключа: 128 бит

- Быстрее шифрование/расшифровка

- Достаточная стойкость для большинства задач

- Меньше нагрузка на систему

- Используется по умолчанию в некоторых версиях

Характеристики:

- Длина ключа: 256 бит

- Максимальная стойкость

- Медленнее шифрование

- Больше нагрузка на CPU

- Рекомендуется для высокого уровня безопасности

- Используется в Enterprise версиях

Определяется:

- Групповыми политиками (для доменов)

- Настройками при включении BitLocker

- Версией Windows

- Требованиями безопасности

- Шифрование без TPM

- Использование пароля или USB ключа

- Более слабая защита

- Доступно на всех версиях

- Использование Trusted Platform Module

- Автоматическая разблокировка при загрузке

- Защита от атак на выключенную систему

- Требует TPM чип

- Комбинация TPM и PIN кода

- Двухфакторная аутентификация

- Более высокая безопасность

- Защита от атак на выключенную систему

- TPM + USB ключ

- Физический ключ для доступа

- Высокий уровень безопасности

- Требует наличие USB ключа

Содержит:

- Информацию о конфигурации

- Защищенные ключи (Key Protectors)

- Метаданные BitLocker

- Версия BitLocker

- Информация о шифровании

- Первые сектора тома

- Резервная копия в конце тома

- Копии для надежности

- Защищены от случайного изменения

. Чтение первых секторов диска

2. Поиск сигнатур BitLocker

3. Извлечение метаданных

4. Анализ конфигурации

5. Определение режима работы

- криптографический процессор:

- Аппаратный чип на материнской плате

- Хранение ключей в защищенном виде

- Проверка целостности системы

- Измерения загрузки (PCR values)

- Защита от атак

Как работает:

1. BitLocker хранит VMK в TPM

2. При загрузке TPM проверяет целостность

3. Если все в порядке - автоматически разблокирует

4. Пользователь не видит процесса

5. Прозрачная защита

✅ Автоматическая разблокировка

✅ Прозрачно для пользователя

✅ Защита от модификации системы

✅ Нет необходимости ввода пароля

✅ Высокая безопасность

❌ Слабая защита при физическом доступе

❌ Можно обойти при доступе к TPM

❌ Извлечение ключей из памяти после загрузки

❌ Изменение аппаратуры может заблокировать

Настройка:

1. Включить BitLocker без TPM

2. Выбрать "Use a password to unlock the drive"

3. Установить пароль (минимум 8 символов)

4. Сохранить ключ восстановления

5. Начать шифрование

. При загрузке запрашивается пароль

2. Пароль используется для расшифровки VMK

3. После расшифровки - доступ к данным

4. Пароль хранится в виде хеша в метаданных

Возможности:

- Перебор паролей (brute force)

- Анализ хешей паролей

- Поиск паролей в документах

- Извлечение из памяти после ввода

- Работа с инструментами взлома

Настройка:

1. Подключить USB флешку

2. Выбрать "Use a USB flash drive to unlock the drive"

3. Сохранить ключ на USB

4. USB ключ требуется при каждой загрузке

ключ содержит:

- Файл с ключом

- Метаданные BitLocker

- Идентификатор ключа

- Защита ключа

Если USB ключ найден:

1. Анализировать содержимое USB

2. Извлечь ключ

3. Использовать для разблокировки

4. Документировать находку

- 48-значный числовой ключ

- Создается при включении BitLocker

- Используется для экстренного доступа

- Не требует пароля или TPM

- Прямая разблокировка диска

Пример: 123456-789012-345678-901234-567890-123456-789012-345678



Где:

- 8 групп по 6 цифр

- Разделители: дефисы

- Всего 48 цифр

- Уникальный для каждого тома

. Ввести ключ восстановления при запросе

2. Программа расшифрует VMK

3. Доступ к данным получен

4. Ключ одноразовый для конкретного тома

В корпоративных доменах:

- Ключи восстановления хранятся в AD

- Централизованное управление

- Автоматическое резервное копирование

- Доступ администраторов домена

Если есть доступ к домену:

1. Подключиться к Active Directory

2. Найти объект компьютера

3. Извлечь ключи восстановления

4. Использовать для разблокировки

. Аккаунт Microsoft:

   - Сохранение в облаке Microsoft

   - Привязка к учетной записи

   - Доступ через account.microsoft.com

   - Требует доступ к аккаунту



2. Распечатанные ключи:

   - Документы пользователя

   - Папки с документами

   - Файлы с названиями "BitLocker", "Recovery Key"

   - Текстовые файлы

   - PDF документы



3. USB флешки:

   - Созданные автоматически

   - Подключенные к системе

   - С файлами ключей

   - Именованные как "BitLocker Recovery Key"

Команды поиска:

Windows:

dir /s /b *recovery*

dir /s /b *bitlocker*

findstr /s /i "BitLocker" *.txt *.doc *.pdf



PowerShell:

Get-ChildItem -Recurse -Include *recovery*,*bitlocker* | Select-String "Recovery Key"

\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- Информация о BitLocker



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

- Конфигурация BitLocker



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fvevol

- Сервисы BitLocker

. Открыть RegEdit или Registry Editor

2. Перейти к разделам BitLocker

3. Искать ключи восстановления (редко)

4. Анализировать конфигурацию

5. Определить режим работы

Если система в домене:

- Ключи хранятся в объекте компьютера

- Атрибут: msFVE-RecoveryPassword

- Доступ через AD инструменты

- Требует права администратора домена

<h2 id="podklyuchenie-k-ad">Подключение к AD</h2>

Import-Module ActiveDirectory



<h2 id="poisk-klyuchey-dlya-kompyutera">Поиск ключей для компьютера</h2>

Get-ADObject -Filter {objectClass -eq "computer"} -Properties msFVE-RecoveryPassword | 

Where-Object {$_.msFVE-RecoveryPassword -ne $null}



<h2 id="ili-dlya-konkretnogo-kompyutera">Или для конкретного компьютера</h2>

$computer = Get-ADComputer -Identity "COMPUTER_NAME"

$computer.msFVE-RecoveryPassword

Инструменты:

- Active Directory Users and Computers

- ADSI Edit

- PowerShell

- Специализированные инструменты AD

Процесс:

1. Войти в account.microsoft.com

2. Devices > BitLocker recovery keys

3. Просмотреть сохраненные ключи

4. Связать с устройством

5. Извлечь ключ восстановления

Если используется Azure AD:

- Ключи в Azure Portal

- Endpoint Manager

- Intune

- Требует доступ к Azure AD

Искать в:

- Текстовых файлах (.txt, .doc, .docx)

- PDF документах

- Скриншотах (могут содержать ключи)

- Email сообщениях

- Заметках и напоминаниях

<h2 id="poisk-klyuchey-vosstanovleniya-v-faylah">Поиск ключей восстановления в файлах</h2>

$pattern = "\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}"



Get-ChildItem -Path "C:\" -Recurse -Include *.txt,*.doc,*.docx,*.pdf -ErrorAction SilentlyContinue | 

Select-String -Pattern $pattern

Если система работала:

1. Создать дамп памяти

2. Искать ключи в памяти

3. Использовать инструменты анализа памяти

4. Извлечь VMK или ключи восстановления

- WinPmem для создания дампов

- Volatility для анализа памяти

- Rekall для анализа

- Специализированные инструменты для BitLocker

- Система работала с разблокированным BitLocker

- Ключи находятся в памяти

- Система в режиме сна или гибернации

- Система была выключена недавно

- Память не была очищена

- Volume Master Key (VMK)

- Full Volume Encryption Key (FVEK)

- Пароли (если вводились)

- Ключи из TPM (если использовались)

- Конфигурация BitLocker

. Загрузить WinPmem

2. Запустить от имени администратора

3. Создать дамп:

   winpmem_mini_x64.exe memory.dump

4. Сохранить дамп

5. Анализировать дамп

. Запустить DumpIt.exe

2. Подтвердить создание дампа

3. Сохранить memory.dmp

4. Анализировать дамп

⚠️ Важно:

- Создавать дамп до выключения системы

- Или из системы в режиме сна

- Быстрое создание дампа

- Сохранить на внешний диск

. Установить Python

2. Установить Volatility:

   pip install volatility3

3. Или использовать готовый дистрибутив

4. Проверить установку

. volatility3 -f memory.dump windows.info

2. Определить версию Windows

3. Выбрать правильный профиль

4. Использовать для дальнейшего анализа

Команды:

1. Поиск процессов BitLocker:

   volatility3 -f memory.dump windows.pslist | grep -i bitlocker



2. Поиск ключей в памяти:

   volatility3 -f memory.dump windows.memmap

   

3. Извлечение ключей:

   volatility3 -f memory.dump bitlocker (если плагин доступен)

Для Volatility:

- bitlocker плагин для поиска ключей

- Может извлекать VMK/FVEK

- Работает с дампами Windows

- Требует установки плагина

Возможности:

- Анализ дампов памяти

- Поиск ключей BitLocker

- Автоматическое извлечение

- Поддержка различных форматов

- Коммерческий инструмент

. Загрузить дамп памяти

2. Запустить анализ

3. Инструмент найдет ключи

4. Извлечет VMK/FVEK

5. Использовать для разблокировки

Возможности:

- Извлечение ключей из памяти

- Анализ дампов

- Работа с BitLocker

- Коммерческий инструмент

- Интеграция с другими инструментами

Расположение:

- hiberfil.sys (файл гибернации)

- Содержит снимок памяти

- Ключи могут сохраняться

- Анализ через Volatility

. Найти hiberfil.sys

2. Скопировать файл

3. Анализировать как дамп памяти

4. Искать ключи BitLocker

5. Извлечь при наличии

.sys:

- Может содержать ключи

- Анализ сложнее

- Меньше вероятность сохранения

- Можно попробовать при отсутствии других источников

Формат: XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX



Где:

- 8 групп по 6 цифр

- Разделители: дефисы

- Всего 48 цифр

- Пример: 123456-789012-345678-901234-567890-123456-789012-345678

. При загрузке появится экран BitLocker

2. Выбрать "Enter recovery key"

3. Ввести 48-значный ключ

4. Программа расшифрует VMK

5. Диск разблокируется

. Подключить зашифрованный диск

2. Появится запрос ключа восстановления

3. Ввести 48-значный ключ

4. Диск разблокируется

5. Доступ к данным получен

. Открыть PowerShell от имени администратора

2. Команда разблокировки:

   Unlock-BitLocker -MountPoint "X:" -RecoveryPassword "XXXXXX-XXXXXX-..."

3. Диск разблокирован

4. Доступ к данным

manage-bde -unlock X: -RecoveryPassword XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX-XXXXXX

При найденных ключах:

1. Записать ключ

2. Связать с диском/системой

3. Сохранить в безопасном месте

4. Задокументировать источник ключа

5. Использовать для доступа

Рекомендации:

- Хранить отдельно от дисков

- Использовать шифрование для ключей

- Делать резервные копии

- Документировать в отчете

- Не хранить в незашифрованном виде (если возможно)

Расположение:

- Первые сектора тома (сектор 0-15)

- Резервная копия в конце тома

- Несколько копий для надежности

- Сигнатура BitLocker

- Версия BitLocker

- Конфигурация шифрования

- Key Protectors

- Метаданные томов

- Информация о режиме работы

. Открыть диск в HxD или WinHex

2. Перейти к сектору 0

3. Найти сигнатуры BitLocker

4. Прочитать метаданные

5. Извлечь информацию

сигнатуры:

- "FVE-FS" - BitLocker signature

- "FVE-MK" - Volume Master Key

- Другие структуры данных

Инструменты:

- Dislocker (Linux)

- bdeinfo (BitLocker Disk Encryption Info)

- Специализированные анализаторы

- Scripts для парсинга

Можно определить:

- Версия BitLocker

- Алгоритм шифрования (AES-128/256)

- Режим работы (TPM, пароль, USB)

- Количество Key Protectors

- Статус шифрования

- Методы защиты ключей

Знание конфигурации помогает:

- Выбрать правильные методы анализа

- Понять, какие ключи нужны

- Определить возможные источники

- Выбрать инструменты

- Оценить сложность обхода

- инструмент для работы с BitLocker дисками в Linux:

- Разблокировка дисков

- Монтирование томов

- Работа с образами BitLocker

- Поддержка различных методов разблокировки

<h2 id="ubuntu-debian">Ubuntu/Debian</h2>

sudo apt-get install dislocker



<h2 id="ili-kompilyatsiya-iz-ishodnikov">Или компиляция из исходников</h2>

git clone https://github.com/Aorimn/dislocker.git

cd dislocker

cmake .

make

sudo make install

<h2 id="razblokirovka-s-parolem">Разблокировка с паролем</h2>

sudo dislocker -V /dev/sda1 -uPASSWORD -- /media/bitlocker



<h2 id="razblokirovka-s-klyuchom-vosstanovleniya">Разблокировка с ключом восстановления</h2>

sudo dislocker -V /dev/sda1 -p123456-789012-... -- /media/bitlocker



<h2 id="montirovanie">Монтирование</h2>

sudo mount -o loop /media/bitlocker/dislocker-file /media/mount

Коммерческий инструмент:

- Извлечение ключей из памяти

- Разблокировка BitLocker

- Поддержка различных методов

- Анализ дампов памяти

- Автоматическое извлечение ключей

✅ Извлечение ключей из дампов памяти

✅ Разблокировка с ключами восстановления

✅ Работа с паролями

✅ Анализ различных режимов BitLocker

✅ Интеграция с инструментами экспертизы

Профессиональный инструмент:

- Восстановление паролей

- Извлечение ключей

- Работа с BitLocker

- Поддержка множества форматов

- Коммерческий продукт

✅ Восстановление паролей BitLocker

✅ Извлечение ключей из памяти

✅ Работа с зашифрованными дисками

✅ Интеграция с другими инструментами

Инструмент для анализа метаданных BitLocker:

- Парсинг метаданных

- Извлечение информации

- Анализ конфигурации

- Определение режима работы

<h2 id="analiz-diska">Анализ диска</h2>

bdeinfo /dev/sda1



<h2 id="vyvod-informatsii">Вывод информации:</h2>

<h2 id="versiya-bitlocker">- Версия BitLocker</h2>

<h2 id="rezhim-raboty">- Режим работы</h2>

<h2 id="key-protectors">- Key Protectors</h2>

<h2 id="konfiguratsiya">- Конфигурация</h2>

Доступные плагины:

- bitlocker - поиск ключей в памяти

- Может извлекать VMK/FVEK

- Работа с различными версиями Windows

- Требует установки плагина

<h2 id="poisk-klyuchey-bitlocker">Поиск ключей BitLocker</h2>

volatility3 -f memory.dump windows.bitlocker



<h2 id="izvlechenie-klyuchey">Извлечение ключей</h2>

volatility3 -f memory.dump windows.bitlocker -o keys.txt

. Документы пользователя

2. Email сообщения

3. Облачные сервисы

4. Active Directory

5. USB флешки

6. Скриншоты

7. Бумажные записи

Использовать скрипты:

- Поиск по паттернам

- Анализ файлов

- Поиск в реестре

- Поиск в базе данных

- Сканирование всех источников

. Создание дампа памяти работающей системы

2. Анализ файлов гибернации

3. Анализ файлов подкачки

4. Использование инструментов извлечения

5. Парсинг дампов

❌ Работает только если система работала

❌ Ключи могут быть очищены

❌ Требует быстрого реагирования

❌ Не работает на выключенных системах

Когда возможно:

- BitLocker использует пароль

- Нет других методов защиты

- Пароль не слишком сложный

- Достаточно времени и ресурсов

- Hashcat (поддержка BitLocker)

- John the Ripper

- Elcomsoft

- Passware Kit

⚠️ Может занять очень много времени

⚠️ Сложные пароли практически не взламываются

⚠️ Требует значительных вычислительных ресурсов

⚠️ Может быть неэффективным

. Извлечение ключей из памяти после загрузки

2. Использование ключей восстановления

3. Модификация системы (если есть доступ)

4. Клонирование TPM (экстремально сложно)

5. Атаки на TPM (специализированные)

⚠️ TPM защищает от атак на выключенную систему

⚠️ Ключи в TPM защищены аппаратно

⚠️ Обход TPM крайне сложен

⚠️ Требует физического доступа к TPM

Возможные уязвимости:

- Слабые пароли

- Хранение ключей в небезопасных местах

- Отсутствие дополнительной защиты

- Пробелы в настройках безопасности

. Изучить метаданные BitLocker

2. Определить режим работы

3. Найти слабые места

4. Использовать найденные уязвимости

5. Обойти защиту через слабости

. Создать образ зашифрованного диска через FTK Imager

2. Разблокировать образ через ключ восстановления

3. Или работать с образом после разблокировки

4. Анализировать в FTK Imager

. Подключить зашифрованный диск

2. FTK Imager создаст образ

3. Образ будет зашифрован

4. Разблокировать через инструменты

5. Или создать образ уже разблокированного диска

. Разблокировать BitLocker диск

2. Создать образ разблокированного диска

3. Импортировать в Autopsy

4. Анализировать в Autopsy

. Создать образ зашифрованного диска

2. Использовать инструменты для разблокировки образа

3. Импортировать разблокированный образ в Autopsy

4. Анализировать данные

. Создать дамп памяти системы с BitLocker

2. Использовать Volatility для анализа

3. Извлечь ключи BitLocker из памяти

4. Использовать ключи для разблокировки диска

5. Продолжить анализ разблокированных данных

. Извлечь хеши паролей BitLocker

2. Использовать Hashcat для перебора

3. Найти пароль

4. Использовать пароль для разблокировки

поддерживает:

- BitLocker пароли

- Различные режимы BitLocker

- Оптимизация для GPU

- Быстрый перебор

- Первые версии BitLocker

- Базовые функции

- Ограниченные режимы

- Меньше опций безопасности

- Проще анализ

- Те же принципы работы

- Возможно больше уязвимостей

- Проще извлечение ключей

- Меньше защиты

- BitLocker To Go для USB

- Улучшенная интеграция

- Больше режимов

- Лучшая безопасность

- BitLocker Device Encryption

- Автоматическое шифрование

- Интеграция с облаком

- Улучшенная безопасность

- Больше режимов работы

- XTS-AES режим шифрования

- Более сложная защита

- Улучшенные механизмы

- Больше источников ключей

- Интеграция с Microsoft Account

- Облачное хранение ключей

. Попробовать найти ключи восстановления

2. Одновременно извлекать из памяти

3. Анализировать конфигурацию

4. Использовать несколько инструментов

5. Комбинировать методы

Если система в домене:

1. Подключиться к Active Directory

2. Извлечь ключи из AD

3. Использовать для разблокировки

4. Документировать источник

. Определить Microsoft Account

2. Получить доступ к аккаунту

3. Извлечь ключи из облака

4. Использовать для разблокировки

Решения:

1. Проверить правильность ввода

2. Проверить раскладку клавиатуры

3. Проверить источник ключа

4. Попробовать другие ключи

5. Убедиться в правильности диска

Решения:

1. Проверить подключение диска

2. Проверить определение в системе

3. Установить драйверы

4. Использовать другой компьютер

5. Проверить повреждения диска

. Сначала искать ключи восстановления

2. Затем извлекать из памяти

3. Параллельно анализировать конфигурацию

4. Использовать несколько методов

5. Документировать все попытки