DIGITAL FORENSICS: HOW TO MOUNT A FORENSIC IMAGE WITH FULL DISK BITLOCKER ENCRYPTED

DIGITAL FORENSICS: HOW TO MOUNT A Forensic IMAGE WITH  Full Disk BITLOCKER ENCRYPTED

วันนี้มาทดสอบการทำ  Disk Image ที่โดนเข้ารหัส  ( Full disk ENCRYPTED with BITLOCKER)

เครื่องมือที่ใช้ (Tools)

1. Bitlocker Disk image + Key Recovery

2. Tableau Forensic Duplicator - TD2

3. Forensic Workstations

4. Arsenal Image Mounter  

5. OSForensics

6. FTK Imager 

ขั้นตอน

1. ได้รับเคสให้ตรวจสอบ Harddisk  ที่พบว่ามีการทำ Full disk ENCRYPTED โดย BITLOCKER  ขนาด 120 gb

Full disk ENCRYPTED WITH BITLOCKER

2. ทำสำเนาหลักฐานโดยใช้Tableau Forensic Duplicator - TD2

    ตั้งค่า forensics image file เป็น e01

Tableau Forensic Duplicator - TD2

3. เมื่อเสร็จให้ตรวจสอบ สำเนาหลักฐานและดู Log
ใช้ FTK Imager เปิด CF-BITLOCKER.E01  ว่าไฟล์สมบูรณ์หรือไม่

สังเกต Header  The FVE metadata block header consists of the signature “-FVE-FS”.

BitLocker

ตรวจสอบ log file 2020-05-19 11-09-04 00358 D2F.LOG จาก Tableau Forensic Duplicator - TD2

Download log

4. ทำการใช้ FTK Imager   ทดสอบเปิด forensics image file ว่าสามารถเปิดได้หรือไม่

    ทดสอบ Mount  CF-BITLOCKER.E01 file พบว่าสามารถ Mount  แต่ไม่สามารถเปิด Drive: K ได้ เนื่องจาก โปรแกรม FTK Imager  ไม่รองรับการใส่ recovery Key ของBIT-LOCKER

Mount CF-BITLOCKER.E01 image file

Mount drive k: แต่เปิดไม่ได้

5. ใช้โปรแกรม Arsenal Image Mounter  Mount CF-BITLOCKER.E01 image file

Mount CF-BITLOCKER.E01 image file

เปิด Drive I:

 Drive I: Recover key

 Unlock this Drive.

6. ใช้โปรแกรม OSForensics ทำการค้นหาหลักฐานที่เราได้ mount Drive I: ออกมา ทำการวิเคราะห์และค้นหาข้อมูล

 จากการตรวจสอบพบว่าเครื่องคอมพิวเตอร์ติดตั้ง OS Windows 10 pro

สรุป

1. ขนาด Forensic Image file  ที่จากการทำสำเนาได้ประมาณ 14 GB จาก SSD harddisk 120 GB

2. โปรแกรม FTK Imager ไม่สามารถ  Mount ไฟล์ forensic image ที่มีการเข้ารหัส Bitlocker  ได้ ทำให้เปิดไม่ได้

3. โปรแกรมArsenal Image Mounter สามารถ  Mount ไฟล์ forensic image  รองรับการใส่ recovery Key ของ BIT-LOCKER   ทำให้เปิด drive ได้

4. ใน Header  ของ forensic image file จะมี signature “-FVE-FS” เกิดจากการเข้ารหัสโดย Bitlocker

อ่านเพิ่ม

GUYMAGER ACQUISITION TOOL II

DIGITAL FORENSICS: HOW TO MOUNT A RAW IMAGE WITH BITLOCKER ENCRYPTED

Ref:

https://arsenalrecon.com/products/

unlocking-bitlocker-can-you-break-that-password

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Full disk ENCRYPTED