前言:BitLocker 是 Windows 的一种设备加密功能,以目前的技术是无法破解的。目前有几种常见保存密钥文件的方式。第一,保存在本地磁盘(也就是其他未加密的磁盘中);第二,保存在外部介质(例如U盘、网盘等);第三、保存在Azure AD 帐户中(国内很少用)。
本篇文章主要是介绍第一种情况如何快速找到密钥文件。
bitlocker加密磁盘,你可以使用密码:
或者是用密钥文件来进行解密(点击更多选项):
当然,在实际案件中可能嫌疑人拒不交代密码和密钥文件储存位置,假如他将密钥储存在一个非bitlocker加密的本地磁盘很深的目录中,我们通过人工寻找的方式肯定不现实。
那么我们先来看一下 bitlocker 密钥文件长什么样?
那我们可以直接搜索 bitlocker、恢复密钥 等关键字,找到密钥文件。当然,如果嫌疑人将密钥截图保存,我们可以勾选 OCR 图片识别功能。
当然,我们搜索标识符能100%确定对应的恢复密钥(前提是磁盘有这个文件的情况下),还记得上面我发的图片吗?
这里有一个密钥ID,那么这个ID就是恢复密钥文件中标识符的前8位,我们可以通过检索这8位字符,就能够确定对应的密钥文件了。
