Digital Forensics: How to mount a raw image with Bitlocker encrypted
วันนี้มีน้องที่ทำงาน digital forensic มาแนะนำ Tools สำหรับ จัดการ Disk Image ที่โดนเข้ารหัส (
Bitlocker encrypted)
Tools
- Autopsy 4.10
- Arsenal Image Mounter v3
- Bitlocker Disk image + Key Recovery
 |
| Disk Image |
1. ทำการ add image และตรวจสอบว่า Disk Image ว่ามี encryption หรือไม่ โดยใช้โปรแกรม Autopsy
 |
| Autopsy Encryption Detection Module |
 |
| Autopsy Encryption Detection Module |
แต่ไม่สามารถเปิดดูข้อมูลข้างในได้เนื่องจากโดยเข้ารหัสอยู่
4. ทำการ Mount Image โดยใช้ Arsenal Image Mounter เพื่อดูข้อมูล
 |
| Arsenal Image Mounter V.3 |
 |
| Bitlocker.E01 |
 |
| Recovery key |
สรุป
1. สามารถทำ Forensic Disk Image ทีโดน Bit-locker ได้
2. ณ ตอนนี้ หากเราไม่มี Key recovery จะไม่สามารถเปิด Disk Image ที่เข้าหรัส Bit-locker ได้
3. โปรแกรม Forensic Tools บางตัวที่รองรับการทำงาน BitLocker Drive เช่น Encase ,Arsenal Image Mounter
Ref:
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
No comments:
Post a Comment