marius
/
Forensische_Analyse_2023
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Bitlocker Krams

main
marius 2023-11-11 15:24:22 +01:00
parent 1d56dd5781
commit 091f846741
1 changed files with 46 additions and 5 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

51
Notizen_Forensiche_Analyse_S3.md
View File

@ -232,7 +232,7 @@ regripper -p winver -r # ? /tmp/system #
## Bitlocker Entschlüsselung
(APL relevant)
#### Funktionsweise von TPM Sniffing
* per Bus TPM Sniffing mittels Logic Analyzer mit genug MSPS
* TPM nutzt LPC (7 Signale), SPI (4 Signale) oder I2C
@ -240,13 +240,29 @@ regripper -p winver -r # ? /tmp/system #
* PCI Bus 33 MhZ. Also 66 MhZ. 4 - 7 Signale.
* Ein 500 MSPS LogicAnalyzer reicht für LPC
* FVEK - zum Ver- und Entschlüsseln
* Ent VMK1 - muss entsiegelt werden (Binär-Datei, unter 100k)
* Ent VMK1 - muss entsiegelt werden (Binär-Datei, unter 100k), wird FVEK
#### APL Vorgehensweise
In der APL wird ein LPC Bus benutzt (also 7 Kanal-System). Die exportierten Werte müssen an "ARNE" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
*Saleae Logic 2* herunterladen. -> File -> Open Capture (paar hundert MB) -> Export Data -> dauert lange, und wird 20 GB groß.
*Saleae Logic 2* herunterladen. -> File -> Open Capture (paar hundert MB *.sal File) -> Export Data -> dauert lange, und wird 20 GB großes CSV.
Nach dem DL der Captures sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
Tipp: Nach dem DL der Captures sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
#### Für den Boot-Vorgang
Hier werden die Daten noch nicht entschlüsselt
```bash
ARNE -i bitlocker_logic_export.csv\ # nicht das .sal File
-k "1=LCKL,2=LAD0,3=LAD1,4=LAD2,5=LAD3,6=LFRAME,7=LRESET"\
-o wings_apl.vmk
```
#### Entschlüsselung
```dislocker``` : wird gebraucht, nach ARNE. Kann Bitlocker Partitionen unter macOS und Linux einbinden. Hier wird der VMK gebraucht (Version >= 0.7.2).
@ -257,5 +273,30 @@ Partions-Layout:
ARNE sucht nach einer Signatur, und holt einen 32 Byte für den VMK (?); sollte da drin sein wenn man nach dem Sub-String sucht.
## foo
```bash
mkdir /tmp/dislocker
sudo dislocker -h
# siehe Platform 4n6
# Eine entschlüsselte physische Partition entsteht wenn dislocker funktioniert
# Hex-Editor:
xxd dislocker-file | less
```
* 0..9615 - Block 1
* 9616 - Block 2 : Bitlocker
* Block 3: NTFS
Block 2 wird ersetzt. `dmsetup` hilft.
# foo