marius/Forensische_Analyse_2023
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Notizen zu TPM Sniffing und Bitlocker

Browse Source
This commit is contained in:
marius 2023-11-11 14:43:44 +01:00
parent aef881e78a
commit 508ceabc5b
1 changed files with 14 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

14
Notizen_Forensiche_Analyse_S3.md
View File

@ -230,7 +230,21 @@ regripper -p winver -r # ? /tmp/system #
# in der Registry stehen auch MAC Adressen <-> Access Point Verbindungen, was relevant sein kann # in der Registry stehen auch MAC Adressen <-> Access Point Verbindungen, was relevant sein kann
``` ```
## Bitlocker Entschlüsselung
(APL relevant)
* per Bus TPM Sniffing mittels Logic Analyzer mit genug MSPS
* TPM nutzt LPC (7 Signale), SPI (4 Signale) oder I2C
* Nyquist Shannon: Logic Analyser muss doppelt - 3x so hoch sein
* PCI Bus 33 MhZ. Also 66 MhZ. 4 - 7 Signale.
* Ein 500 MSPS LogicAnalyzer reicht für LPC
* FVEK - zum Ver- und Entschlüsseln
* Ent VMK1 - muss entsiegelt werden
In der APL wird ein LPC Bus benutzt. Die gesampelten Signale müssen an "Arne" übergeben werden. Im Header der Sample-Datei stehen die Spezifikationen.
In der APL kann die Analyse 1-2 Stunden dauern. Das File ist 20 GB groß. Nach dem DL sollte der Hash-Wert geprüft werden, sonst droht Zeitverschwendung.
## foo ## foo