コンテンツにスキップ
1337skills 1337skills - チートシート

Bitunlocker.Ja

BitUnlockerチートシート

概要

BitUnlockerは、Windows回復環境(WinRE)からBitLockerシークレットを抽出するツールです。DefCon 33で発表され、フォレンジック調査官やインシデント対応者がBitLockerで暗号化されたボリュームにアクセスするのを支援するように設計されています。

主な機能

  • BitLockerシークレット抽出: Windows回復環境からBitLockerシークレット(回復キーやスタートアップキーなど)を抽出できます。
  • オフライン分析: BitLockerで暗号化されたボリュームのオフライン分析を実行できます。
  • 複数のWindowsバージョンをサポート: Windows 10やWindows 11を含む複数のWindowsバージョンをサポートしています。

はじめに

bitunlocker.exe /extract /volume <volume>WinREへブート: ターゲットシステムをWindows回復環境にブートします。bitunlocker.exe /unlock /volume <volume> /recoverykey <recovery_key>コマンドプロンプトを起動: WinREメニューからコマンドプロンプトを起動します。bitunlocker.exe /unlock /volume <volume> /startupkey <startup_key>BitUnlockerを実行: コマンドプロンプトからBitUnlockerツールを実行します。https://techcommunity.microsoft.com/blog/microsoft-security-blog/bitunlocker-leveraging-windows-recovery-to-extract-bitlocker-secrets/4442806**BitLockerシークレットを抽出 **: ツールを使用してターゲットボリュームからBitLockerシークレットを抽出します。