全球主机交流论坛

标题: 是哪位 mjj 被抓了？ [打印本页]

作者: 老爷爷wkjy 时间: 2023-6-30 23:49
标题: 是哪位 mjj 被抓了？
TPM芯片不用愁，疑难案件获突破

近日，我司接到某地市公安的案件技术协助请求，要求协助解密一台笔记本电脑硬盘的数据。该案件从去年开始立案侦查，通过前期排查，已将嫌疑人使用的笔记本电脑(HP Envy X360)进行扣押，该嫌疑人主要通过自己的电脑远程控制境外服务器进行违法活动，然而警方发现嫌疑人有案底，十分狡猾，具有很强的反侦察意识，电脑使用了BitLocker加密技术对硬盘进行加密，拒不承认自己与案件相关，不交代电脑的开机密码，案件陷入僵局。
经过预检发现，硬盘系统分区有Bitlocker加密。警方通过多种方法尝试，联系了国内的多家电子数据取证公司，耗费一个多星期到各地寻找破解加密磁盘的方法，结果都无法解密加密磁盘的数据，最后辗转找到我司寻求技术支援。

我司技术人员先使用公司自主研发的免拆机取证设备-取证前锋对该电脑进行了预检，经过检查发现，该电脑内置了TPM加密芯片，系统分区已使用BitLocker加密。通过镜像工具进行只读模式挂载，发现该加密分区并非是默认基于TPM的Bitlocker加密（即微软定义的“设备加密”），无法直接解密，该机器疑似设置了PIN码。考虑到现场取证流程要符合司法规范，我司技术人员通过嫌疑人笔记本电脑的两个USB接口与免拆机取证设备进行快速镜像，512GB容量硬盘耗时16分钟，速度比传统硬盘拷贝机快不少。

完成嫌疑人笔记本电脑的全盘镜像后，尝试使用我司的秘密武器CSIR-5000（临机绕密取证设备）对启用TPM+PIN保护的BitLocker加密的Windows 10系统进行破解。该设备采用内存直接访问(DMA)攻击技术，通过将内置的无线网卡替换为专用卡，使用专用软件进行内存扫描，刚开始遇到无法访问内存问题，发现该电脑默认启用了“快速启动“机制造成，经过调试，很快在十多分钟内就成功绕过Windows 10系统的锁屏密码，随意输入一个密码进入系统后，运行一个简单的命令行，成功获取到了该BitLocker加密磁盘的48位的恢复密钥。该绕密取证过程全程进行了录像，确保符合司法要求。

使用我司的取证神探取证分析软件加载硬盘镜像，输入提取的48位BitLocker恢复密钥，成功解密了硬盘数据。经过对解密后的数据分析，我们发现嫌疑人有很强的反侦察经验，电脑上安装了反取证软件，经常对计算机痕迹进行擦除。经过我们不懈的努力，最终还是找到了连接服务器的历史记录，根据这些线索，把服务器等其他的线索串连起来，形成了证据链。此外，还在硬盘镜像中发现了1个iPhone手机备份及1个iPad备份、两个iOS设备的Lockdown密钥数据，并解析出了部分有价值的数据。

我司圆满完成了本次疑难案件的技术支援，我司的特色取证设备和技术团队的实战能力都得到了客户的好评，具备实战能力的“神探学院“也一定可以成为国内“精英神探“的摇篮

来源：https://mp.weixin.qq.com/s/lLTR0XI6br46lEyaDCzfXA

作者: ftlh2005 时间: 2023-6-30 23:51
牛逼

作者: 谷歌浏览器 时间: 2023-6-30 23:52
这个牛逼

作者: 老爷爷wkjy 时间: 2023-6-30 23:52
虽然是旧闻了，但想搞事的还是先肉身出去吧

作者: 本人马保国 时间: 2023-6-30 23:52
所以BitLocker 也不安全?

作者: diocat 时间: 2023-6-30 23:53
破TPM和bitlocker，要是真能破有点东西

作者: 老爷爷wkjy 时间: 2023-6-30 23:55

本人马保国发表于 2023-6-30 23:52
所以BitLocker 也不安全?

其实也不能排除诸如美亚柏科这些取证公司在自我吹嘘

作者: vpscainiao 时间: 2023-6-30 23:55
看来只能物理破坏了

作者: DogeLee2 时间: 2023-6-30 23:56
本帖最后由 DogeLee2 于 2023-7-1 10:46 编辑

快进到几年后，某个mjj发帖说
其实xx年-xx年这段消失的时间其实我是去踩缝纫机了

作者: 苏州思杰马克丁 时间: 2023-7-1 00:03
我有一个疑问，这个人既然懂技术，假设他电脑上没有安装任何国内的软件，例如360微信这种，直接通过公用机场的线路（国内中转服务器→隧道→他自己的VPS上）再连接他的远程桌面，为啥他不在他境外的远程桌面开启BitLocker一类的加密软件，这样景哥是不是一点办法就没了（除了逼供）

作者: 奧巴马 时间: 2023-7-1 00:05
专用网卡，估计网卡驱动投毒了！

作者: whoamie 时间: 2023-7-1 00:05
BitLocker 也能破，是真的有点东西，我一直以为这东西目前为止属于无解的

作者: Corei7 时间: 2023-7-1 00:08
本帖最后由 Corei7 于 2023-7-1 00:10 编辑

话说FBI这么多年，是不是靠公众号的这个公司破解苹果手机取证的？
这么牛逼的公司还没有给收编？
还麻烦库克干嘛

作者: Sandy 时间: 2023-7-1 00:08
怎么看都像公众号在吹牛逼。

作者: ddsweb 时间: 2023-7-1 00:09
我司，我司，个鸡勃

作者: Wine 时间: 2023-7-1 00:21
有水平啊，看来只能物理毁灭了。

作者: Sandy 时间: 2023-7-1 00:21
远程境外服务器作案，还要通过本地电脑找连接记录？运营商不给警方提供上网日志对吧？

作者: HOH 时间: 2023-7-1 00:47

Sandy 发表于 2023-7-1 00:21
远程境外服务器作案，还要通过本地电脑找连接记录？运营商不给警方提供上网日志对吧？ ...

二进宫的一般就狡猾了可能用了跳板，至于破bitlock估计pin太短了

然后后面随便瞎编了

作者: 绿岛小夜曲 时间: 2023-7-1 00:53
随意输入一个密码进入系统后，运行一个简单的命令行，成功获取到了该BitLocker加密磁盘的48位的恢复密钥。

作者: mymyhope 时间: 2023-7-1 00:54
不太相信。总觉得是公众号吹牛逼。

作者: tkzc 时间: 2023-7-1 00:55
DMA确实可以提bitlocker密钥，街机破解用的很多

作者: diguoemo 时间: 2023-7-1 01:10
veracrypt 是真无法破解前提关闭快速启动

作者: hostv 时间: 2023-7-1 10:45
本帖最后由 hostv 于 2023-7-1 10:49 编辑

基本是吹牛比。真是高手，谁还会用WINDOWS 这个破解烂的仆街烂系统？再说微软还有后门可破。
别说连LINUX都不会， LUKS目前全球无人能解。
按标准操作流程，这种基本都用LIVE镜像，就算吧电脑破解烂了也没啥痕迹。

作者: 奧巴马 时间: 2023-7-1 10:49

hostv 发表于 2023-7-1 10:45
基本是吹牛比。真是高手，谁还会用WINDOWS 这个破解烂的仆街烂系统？再说微软还有后门可破。
别说连LINUX ...

说不定这个公司明天就发个微文,宣布破解了.

作者: ccf 时间: 2023-7-1 11:26
感觉是吹牛X

作者: gger 时间: 2023-7-4 13:36
这也8个收藏啊

作者: 屎太龙 时间: 2023-7-4 13:59
进去过的人都会有一定的反侦察意识，我是一年换一个新硬盘，旧的砸了扔河里

作者: 爾乃美家累 时间: 2023-7-4 14:12
mjj又被抓了，mjj一直被抓

作者: 小白鸡 时间: 2023-7-4 14:17

屎太龙发表于 2023-7-4 13:59
进去过的人都会有一定的反侦察意识，我是一年换一个新硬盘，旧的砸了扔河里 ...

SSD也需要这样吗？
国内的笔记本是不是都不带TPM的？

作者: 秋刀鱼 时间: 2023-7-4 14:27

HOH 发表于 2023-7-1 00:47
二进宫的一般就狡猾了可能用了跳板，至于破bitlock估计pin太短了然后后面随便瞎编了 ...

根据访问记录，文件创建记录，发现开启前这家伙新建了一个没有任何内容的txt记事本，解密人员也建立了一个没有任何内容的txt记事本当作开启密码，成功开启，号称解密。

作者: 冰糖不太甜 时间: 2023-7-4 22:45

苏州思杰马克丁发表于 2023-7-1 00:03
我有一个疑问，这个人既然懂技术，假设他电脑上没有安装任何国内的软件，例如360微信这种，直接通过公用机 ...

网络可以监控的啊！用机场也不行人家查到你这个ip 就完了！除非用公共网络wifi不是自己名下的那种！然后电脑上不不用qq那些需要实名的国产软件！这样的话你就是一个隐身的人了！

欢迎光临全球主机交流论坛 (https://443502.xyz/)