BitLocker for Digital Forensics – Part II
วันนี้พบบทความน่าสนใจเรื่องการจัดการหลักฐานที่มีการเข้ารหัสด้วย BitLocker โดยในกรณีศึกษา เช่น เมื่อเราไปเก็บหลักฐานจากแล็ปท็อปและทำสำเนาหลักฐานดิจิทัล ( forensic Image ) แล้วพบว่า ในหลักฐานมีการเข้าBitLockerไว้ ไม่มี recovery Key ก็มีคำแนะนำว่าให้ทำการ ทำสำเนาเก็บไว้ก่อนแล้ว ค่อยไปขอ key และ รหัสผ่านจากผู้ต้องสงสัยทีหลัง หรือทำการกู้คืน forensic Image ลงบน Harddisk SSD ใหม่แทน และสลับเปลี่ยน SSD ของแล็ปท็อปด้วยไดรฟ์โคลน แล้วนำรหัสผ่าน Windows และรหัสBitLocker ที่ได้จากผู้ต้องสงสัย Login แล็ปท็อป จากนั้นทำการ Export recovery Key ออกมา แล้วนำ Key ที่ได้ไปใส่ในเครื่อง Forensic workstation ที่กำลังวิเคราะห์หลักฐานและถอดรหัสได้อย่างสมบูรณ์
ณ จุดนี้เนื่องจากคุณมีสำเนาหลักฐานดิจิทัล forensic Image file อยู่แล้วคุณจึงไม่ต้องยุ่งกับหลักฐานต้นฉบับบน SSD ของแล็ปท็อปเว้นแต่ว่าจำเป็นจริงๆ คุณสามารถรับ BitLocker PIN และรหัสผ่าน Windows จากผู้ต้องสงสัยของคุณได้ ขั้นตอนการทำงานของคุณดังต่อไปนี้:
1. การกู้คืนอิมเมจทางนิติวิทยาศาสตร์ใส่ในฮาร์ดดิสก์ SSD ใหม่ ("ไดรฟ์โคลน")
2. การเปลี่ยน SSD ของแล็ปท็อปด้วยไดรฟ์โคลน
3. การบูตแล็ปท็อปป้อน PIN และรหัสผ่าน Windows
4. การแยกคีย์การกู้คืน BitLocker
5. การลบ BitLocker ออกจากภาพทางนิติวิทยาศาสตร์บนเวิร์กสเตชันทางนิติวิทยาศาสตร์6. เริ่มต้นการวิเคราะห์ของคุณจากภาพทางนิติวิทยาศาสตร์ที่ถอดรหัสอย่างสมบูรณ์
(1) นอกจากนี้ยังมีความเป็นไปได้ซึ่งรวมถึงคีย์การกู้คืน BitLocker ที่ผู้ใช้จัดเก็บไว้ในอุปกรณ์จัดเก็บข้อมูลแบบถอดได้หรือสำเนาหลักฐานดิจิทัล ( forensic Image ) หรือจัดเก็บไว้ในบัญชีออนไลน์ของ Microsoft
เปรียบเทียบค่า hash ของ Disk Image ที่เข้ารหัสโดย BitLocker
Credit:bitlocker-for-dfir-part-iii
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud