Digital Forensics: How to mount a raw image with Bitlocker encrypted

Digital Forensics: How to mount a raw image with  Bitlocker encrypted

วันนี้มีน้องที่ทำงาน digital forensic มาแนะนำ Tools สำหรับ จัดการ Disk Image ที่โดนเข้ารหัส  (

Bitlocker encrypted)

Tools

• Autopsy 4.10
• Arsenal Image Mounter v3
• Bitlocker Disk image + Key Recovery

Disk Image

1. ทำการ add image และตรวจสอบว่า Disk Image  ว่ามี encryption หรือไม่  โดยใช้โปรแกรม Autopsy 

Autopsy Encryption Detection Module

2. ใช้คำสั่ง Encryption Detection Module  ตรวจสอบ

Autopsy Encryption Detection Module

3. พบว่า Disk Image มีการ Encryption

แต่ไม่สามารถเปิดดูข้อมูลข้างในได้เนื่องจากโดยเข้ารหัสอยู่

4. ทำการ Mount Image โดยใช้ Arsenal Image Mounter เพื่อดูข้อมูล

Arsenal Image Mounter V.3

 5. ทำการ Mount disk image (Bitlocker.E01 )

Bitlocker.E01

 6. เมื่อ Mount สำเร็จ ให้ทำการใส่ recovery key

Recovery key

 7.  Drive G: แสดงข้อมูลที่ได้

สรุป

1. สามารถทำ Forensic Disk Image ทีโดน Bit-locker ได้  

2. ณ ตอนนี้ หากเราไม่มี Key recovery    จะไม่สามารถเปิด Disk Image  ที่เข้าหรัส Bit-locker ได้ 

3. โปรแกรม Forensic Tools บางตัวที่รองรับการทำงาน BitLocker Drive  เช่น  Encase ,Arsenal Image Mounter 

Ref:

https://sleuthkit.org/autopsy/docs/user-docs/4.5.0/encryption_page.html

https://arsenalrecon.com/products/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud