Wiki CompFor
Criptografia, BitLocker, VeraCrypt, FileVault, LUKS e senhas

Acesso a volume protegido por BitLocker

Categoria: Criptografia, BitLocker, VeraCrypt, FileVault, LUKS e senhas

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre acesso a volume protegido por BitLocker no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como IPED, Magnet AXIOM, FTK, Hashcat, John the Ripper, BitLocker, iTunes. Os termos mais recorrentes neste tema incluem: imagem, bitlocker, chave, mas, senha, windows, pra, pode, fazer, ele. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Buscar chave de recuperação em documentação, conta Microsoft ou ambiente corporativo autorizado.
  • Preservar imagem antes de qualquer tentativa invasiva.
  • Registrar quando TPM/senha/chave inviabiliza o acesso ao conteúdo.

Ferramentas, sistemas ou marcas citadas

IPEDMagnet AXIOMFTKHashcatJohn the RipperBitLockeriTunes

Palavras-chave recorrentes

imagembitlockerchavemassenhawindowsprapodefazereleestaftktpmnotebookcasoaxiomusuariossd

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 13/12/2018 17:51 a 21:08 — Imagem forense de mídia protegida por BitLocker

13/12/2018 17:51 · Membro 0061
Boa tarde. Peguei um hd de um note para fazer a imagem e ao conectar ao computador, recebo a seguinte mensagem:
13/12/2018 17:52 · Membro 0061
Alguém de vcs tem experiência com dispositivos criptografados por bitlocker?
13/12/2018 17:58 · Membro 0042
<Mídia oculta>
Como_criar_imagem_forense_de_discos_com_Bitlocker_ativado_rKxeDqX
13/12/2018 18:07 · Membro 0061
O problema é a senha q não temos acesso
13/12/2018 18:08 · Membro 0042
Nesse caso apenas devolve e relata a impossibilidade
13/12/2018 18:08 · Membro 0042
Bitlocker tem criptografia com chaves de 256 bits
13/12/2018 18:09 · Membro 0042
Inviável decifrar por força bruta
13/12/2018 18:10 · Membro 0061
Nossa versão do Windows aqui não tem bitlocker, então não pude realizar alguns testes... queria saber se obrigatoriamente o bitlocker precisa de uma senha de usuário para acessar o disco
13/12/2018 18:10 · Membro 0061
Ou se ele pode ser configurado para usar a senha de usuário do Windows, por exemplo
13/12/2018 18:11 · Membro 0002
Olá Thaíssa. Acredito que não pode usar a senha do usuário
13/12/2018 18:13 · Membro 0002
Ao habilitar o bitlocker em um volume windows as opções são: salvar a key na conta online; salvar em um arquivo em outro volume; criar uma midia com a chave; anotar num "lugar" seguro
13/12/2018 18:14 · Membro 0061
Bom, nesse caso, considerando que o q a delegada quer é comprovar, dentre outras coisas, obstrução de justiça, talvez o não fornecimento da senha possa ser um argumento
13/12/2018 18:15 · Membro 0002
Se tiver as credenciais do usuário "online" do windows.. dá pra pegar a chave de recuperação
13/12/2018 18:15 · Membro 0002
Ahhh aí então o laudo já tá feito heheh
13/12/2018 18:24 · Membro 0061
Estava com esperança de que o usuário pudesse só habilitar a criptografia com uma série opções padrão e q isso ficasse transparente ao usuário, de modo que inclusive o acesso ao sistema operacional fosse permitido
13/12/2018 18:25 · Membro 0061
Nesse caso, eu colocaria o hd de volta no note e tentaria usar normal
13/12/2018 18:27 · Membro 0002
Acresito que autenticação do bitlocker [SEGREDO] antes da etapa de login na gui do Windows
13/12/2018 18:30 · Membro 0002
Mas só em ter o bitlocker ativado, suponho que não seria um usuário "padrão"
13/12/2018 19:23 · Membro 0061
Coloquei o hd de volta, rezei um pai-nosso e liguei o note... ele entrou no Windows normal, sem precisar de qualquer senha
13/12/2018 19:26 · Membro 0002
Pense numa reza forte! 😁
13/12/2018 19:29 · Membro 0002
Brincadeiras à parte.. é pq ele deve ter o TPM ativado na BIOS... daí no boot ele já autentica e permite o acesso...
13/12/2018 19:30 · Membro 0002
Não estudei o bitlocker à fundo... estou fazendo suposições como usuário hehehe
13/12/2018 19:31 · Membro 0002
Aqui ou acolá, quando faço teste de instalar outro SO no mesmo "ambiente" ... ele pede a chave de recuperação no boot ...
13/12/2018 19:32 · Membro 0002
E o no pc de teste, tenho o tpm habilitado
13/12/2018 20:25 · Membro 0021
<Mídia oculta>
Tenho ajuda de um super herói às vezes.
13/12/2018 20:27 · Membro 0061
Pois é, estava meio resistente pq ligar o note do suspeito não é um procedimento muito “pericial”, mas não consegui pensar em outra possibilidade
13/12/2018 20:29 · Membro 0020
Já que ligou, agora faz a imagem com o ftk imager dos disco hot
13/12/2018 20:29 · Membro 0061
Exatamente... deixei fazendo
13/12/2018 20:29 · Membro 0061
Amanhã teremos cenas dos próximos capítulos
13/12/2018 21:08 · Membro 0003
É, consta no laudo o procedimento e pronto

Origem 002 — 14/12/2018 12:11 a 12:49 — Imagem forense de mídia protegida por BitLocker

14/12/2018 12:11 · Membro 0061
Como disse q teria cenas dos próximos capítulos, fiz a imagem do hd no próprio note, usando o FTK
14/12/2018 12:11 · Membro 0061
A imagem tbem veio criptografada
14/12/2018 12:11 · Membro 0061
Fiz um dump da memória na esperança de que a chave pudesse estar lá
14/12/2018 12:12 · Membro 0061
Mas por ser Windows 10, ainda não achei plugin no Volatility para recuperar a chave do bitlocker no dump
14/12/2018 12:13 · Membro 0061
Como o quesito pede dados apagados, só a cópia lógica não serve
14/12/2018 12:13 · Membro 0061
Pensei em simplesmente desativar o Bitlocker no note e fazer nova imagem
14/12/2018 12:14 · Membro 0061
Alguém tem alguma sugestão?
14/12/2018 12:17 · Membro 0061
Só para contextualizar quem não acompanhou minha saga ontem, tirei o hd de um notebook e na hora de fazer a imagem, descobri q estava criptografado. Voltei o HD para o note, liguei, ele entrou no SO normal. Fiz a imagem do HD em um HD externo e como disse, o volume de dados continua criptografado
14/12/2018 12:28 · Membro 0026
Eu tentaria isso. Mas faria uma imagem lógica antes. Just in case...
14/12/2018 12:28 · Membro 0023
Faz um espelhamento, e poe o HD espelho no notebook..
14/12/2018 12:31 · Membro 0026
Acho q nao adianta. A partir do momento q desabilitar o bitlock, acredito que a chave [SEGREDO] perdida. Os dados do hd original não serão mais acessíveis.
14/12/2018 12:39 · Membro 0061
É... Vou fazer a lógica mesmo, de todo o jeito, mas to desconfiada que não conseguirei desabilitar o bitlocker sem a chave
14/12/2018 12:41 · Membro 0059
Ja q é possível acessar o SO nao teria uma forma de fazer o backup da chave de recuperação?
14/12/2018 12:42 · Membro 0059
<Mídia oculta>
Tipo esses blogs comentam
14/12/2018 12:48 · Membro 0061
Obrigada... Vou tentar
14/12/2018 12:49 · Membro 0059
De nada, se funcionar avisa nois

Origem 003 — 05/11/2020 14:42 a 14:48 — Imagem forense de mídia protegida por BitLocker

05/11/2020 14:42 · Membro 0096
Pessoal, beleza? Boa tarde.
Eu tenho usando muito meu notebook pessoal pro trabalho. Estava pensando em criptografar o conteúdo.
Vcs acham o BitLocker é uma boa? Ou alguma outra sugestão? Ou besteira fazer isso?
05/11/2020 14:44 · Membro 0037
Boa questão!
Também aguardarei a "ajuda dos universitários".
05/11/2020 14:47 · Membro 0020
Eu uso e ativei o bitlocker tanto no ssd de boot e no segundo disco... Não degradou muito a performance e pelo conteúdo que trabalhos acredito que seja uma necessidade
05/11/2020 14:48 · Membro 0048
Uso FDE em ssd e discos sata com raid e tem muito boa performance

Origem 004 — 12/01/2024 17:23 a 18:14 — Imagem forense de mídia protegida por BitLocker

12/01/2024 17:23 · Membro 0125
Boa tarde.
Estou com um note DELL com NVMe de 256Gb
Na hora de processar no IPED, mostrou como criptografado
12/01/2024 17:24 · Membro 0125
Liguei o note e ele estava sem senha para acesso.
Entretanto, pesquiso por bitlocker (com objetivo de desabilitar), mas não encontro nada
12/01/2024 17:30 · Membro 0050
Se o dispositivo estiver hot, pode abrir o terminal e executar o comando "manage-bde -status" pra verificar se de fato tá com bitlocker.
12/01/2024 17:32 · Membro 0050
Se quiser, pode utilizar o FTK Imager ou o ferramenta da Arsenal (https://arsenalrecon.com/) pra verificar o status da imagem
12/01/2024 17:33 · Membro 0050
Com o FTK Imager é só montar a imagem que o próprio WIndows já vai reconhecer como um volume com bitlocker.
12/01/2024 17:52 · Membro 0050
Muitos volumes estão vindo criptografados, mas com o protector Clear Key do Bitlocker, ou seja, os dados estão cifrados mas acessíveis.
Se não me engano, a ferramenta Axiom já verifica se está nesse estado e decripta os dados.
12/01/2024 18:05 · Membro 0125
Montei a unidade com o FTK Imager e ela veio sem nada, aparentemente criptografada
Agora estou tentando decryptar com o manage-bde, mas ainda sem sucesso
12/01/2024 18:06 · Membro 0125
Vou tentar montar com o Axiom
12/01/2024 18:09 · Membro 0125
<Mídia oculta>
Fui no L pq foi o único q apareceu assim, com sinal que tinha "conteúdo"
12/01/2024 18:09 · Membro 0125
Tentei o comando aqui com K, mesmo erro
12/01/2024 18:10 · Membro 0125
Primeiro tinha montado tudo com somente leitura. Depois pensei q o erro poderia ser isso e mudei pra escrita, mas continua dando erro
12/01/2024 18:11 · Membro 0125
<Mídia oculta>
aqui mais detalhado a descrição de cada partição que identificou na imagem
12/01/2024 18:14 · Membro 0020
Acho que se fizer uma imagem bit a bit em outro disco e colocar no notebook questionado vai dar boot e entrar no windows...

Origem 005 — 31/01/2024 15:16 a 15:28 — Imagem forense de mídia protegida por BitLocker

31/01/2024 15:16 · Membro 0088
Boa tarde. Espelhei um SSD de notebook Dell de uma vítima de homicídio, acusou bitlocker no Axiom, o qual fica pedindo a chave de recuperação. Me informaram a senha PIN do notebook mas não quero ligar o notebook com o SSD pra não alterar o estado das coisas. Qual seria o melhor procedimento? copiar a imagem q fiz para um HD e usálo pra logar com o PIN? Seria possível achar a chave de recuperação pra fornecer pro Axiom?
31/01/2024 15:16 · Membro 0166
tenta converter a imagem .dd para .vmdk
31/01/2024 15:16 · Membro 0166
e executar como virtual machine
31/01/2024 15:17 · Membro 0088
hum, boa! deve dar uns paus de driver né?
31/01/2024 15:17 · Membro 0166
no VMWare a execução é bem melhor
31/01/2024 15:17 · Membro 0166
várias e várias vezes eu tento pelo Oracle Virtual Box e dá erro
31/01/2024 15:17 · Membro 0166
e no VMWare misteriosamente aparece a tela do windows
31/01/2024 15:18 · Membro 0088
mas aí fazendo isso tem algum comando q eu consigo dar pra pegar a chave de recuperação?
31/01/2024 15:18 · Membro 0166
tenta executar o Windows pra ver o que vai acontecer
31/01/2024 15:18 · Membro 0166
como virtual machine
31/01/2024 15:19 · Membro 0088
mas já q vou ter q criar outro arquivo será q não é melhor eu copiar pra um HD clone mesmo e rodar no notebook?
31/01/2024 15:20 · Membro 0088
pq aí o ssd q veio fica preservado
31/01/2024 15:23 · Membro 0091
Se vc fez a imagem, a imagem n vai tá com o estado alterado, kkkk só o notebook!
31/01/2024 15:24 · Membro 0091
Ontem pedi ajuda para o [NOME]
31/01/2024 15:24 · Membro 0088
eheh, mas é um caso sensível q pode ser q peçam pra fazer perícia novamente aí melhor o ssd ficar 100% preservado
31/01/2024 15:24 · Membro 0088
acho q vou até lacrar ele separadamente
31/01/2024 15:26 · Membro 0117
Eu já montei no notebook e documentei bem os horários de ligar, coleta da recovery key [SEGREDO] de desligar. Mas deve dar pra clonar o HD e colocar na máquina. Só não pode modificar certos parâmetros da bios pra não dar trip no tpm.
31/01/2024 15:26 · Membro 0091
Não consegui rodar a imagem na virtual box
31/01/2024 15:26 · Membro 0166
o oracle virtual box tem um .exe pra isso
31/01/2024 15:27 · Membro 0166
VBoxManage convertfromraw image.dd nova_imagem.vmdk --format VMDK
31/01/2024 15:27 · Membro 0166
passa este comando
31/01/2024 15:28 · Membro 0088
creio q vai rodar bem lento no hd clone pq se não me engano um ssd armazena os dados de forma espalhada no espaço de memória interno bem mais do q hds, deve ser uma bagunça pro hd magnético ficar indo pra lá e pra cá com a agulha suponho, mas vai ser um bom teste

Origem 006 — 31/01/2024 19:39 a 20:18 — Imagem forense de mídia protegida por BitLocker

31/01/2024 19:39 · Membro 0162
Se o dispositivo tiver um chip Trusted Platform Module (TPM) provavelmente a chave do Bictlocker estará armazenada nele, sendo acessada e disponibilizada ao S.O. após o usuário digitar o PIN para logar no Windows, então, neste caso, não adiantará colocar a imagem do HD numa maquina virtual, pois mesmo com o PIN do usuário não será possível acessar a chave do Bitlocker no chip TPM, pois ele estará na placa mãe do dispositivo examinado. <Mensagem editada>
31/01/2024 19:41 · Membro 0048
No tpm 2.0 (enclave criptográfico), o pin faz parte da composição da chave que é gerada no enclave junto outra chave que nunca sai do enclave. Igual o TEE dos celulares.
31/01/2024 19:41 · Membro 0166
Aí neste caso, vale pegar um SSD igual e clonar
31/01/2024 19:43 · Membro 0088
👍🏻 então esse vai ser o caminho mesmo, vou usar um HD clone no próprio notebook. Qual o comando ou programa pra se obter a chave de recuperação depois de logar?
31/01/2024 19:44 · Membro 0162
Uma solução simples e eficaz para esse problema.
31/01/2024 19:46 · Membro 0048
Pode tirar a cifra
31/01/2024 19:47 · Membro 0048
Manage-bde off. Se não me engano
31/01/2024 19:47 · Membro 0048
Acho que o [MENCAO] ou o [MENCAO] já comentaram aqui no grupo
31/01/2024 19:54 · Membro 0088
Mas remove a cifra e depois ao clonar já vem descriptografada a nova imagem?
31/01/2024 20:00 · Membro 0048
Pessoal comentou nas mensagens anteriores a essa
31/01/2024 20:03 · Membro 0162
Para pegar a chave do Bitlocker, depois de logado no windows com o PIN do usuário, Abre o “Gerenciar o Bitlocker” (No windows 11 é esse o nome) procura uma opção “Fazer Backup da chave” em seguida escolhe entre imprimir a chave ou salvar em um arquivo.
31/01/2024 20:03 · Membro 0088
Excelente, e no caso é passar essa chave pro axiom por exemplo?
31/01/2024 20:05 · Membro 0162
Aqui utilizamos a chave obtida no FTK, então ele descriptografou a imagem e apresentou os arquivos normalmente. <Mensagem editada>
31/01/2024 20:16 · Membro 0117
manage-bde -protectors –get C:
31/01/2024 20:18 · Membro 0091
Esse caso foi chato viu

Origem 007 — 03/02/2024 15:47 a 16:03 — Acesso a volume protegido por BitLocker

03/02/2024 15:47 · Membro 0050
Técnica muito legal pra quebrar Bitlocker com protector só TPM
03/02/2024 16:03 · Membro 0147
Obrigado por compartilhar
03/02/2024 16:03 · Membro 0147
STK-20240203-WA0008.webp (arquivo anexado)
03/02/2024 16:03 · Membro 0147
STK-20240202-WA0024.webp (arquivo anexado)

Origem 008 — 27/11/2024 10:01 a 10:14 — Imagem forense de mídia protegida por BitLocker

27/11/2024 10:01 · Membro 0154
Bom dia meus nobres colegas!
Estou com um probleminha aqui e quero ver se algum dos senhores tem uma solução.
Fiz uma imagem de um HD, na hora de processar a imagem o sistema de arquivos não foi reconhecido. Coloquei o HD no meu PC, usando um bloqueador de escrita, e a partição que não foi reconhecida estava com o bitlocker. No entanto, não estava criptografado, foi possível acessar os arquivos através do explorer. Tem alguma maneira de fazer a imagem, ignorando o bitlocker, para que reconheça a partição?
27/11/2024 10:03 · Membro 0198
Talvez remover o bitlocker [SEGREDO] a imagem
27/11/2024 10:04 · Membro 0050
Bom dia Mestre. Provavelmente está com Bitlocker, mas com protector clear key ou só via TPM.
27/11/2024 10:04 · Membro 0166
Eu geraria uma .vmdk e removeria o Bit Locker por lá
27/11/2024 10:05 · Membro 0050
Vale a pena vc montar a imagens com o Arsenal ou FTK Imager e verificar qual protector..
27/11/2024 10:05 · Membro 0050
manage-bde -status "Letra do Volume Montado"
27/11/2024 10:09 · Membro 0154
está com bitlocker, conforme eu disse
27/11/2024 10:10 · Membro 0154
mas está sem proteção.
27/11/2024 10:11 · Membro 0154
Como sugere fazer isso? Ligar o computador? Essa é minha dúvida.
27/11/2024 10:11 · Membro 0154
Posso fazer um clone desse HD e tentar ligar tmb
27/11/2024 10:12 · Membro 0198
Nao, monta a imagem, remove o bitlocker, depois faz outra imagem dela montada
27/11/2024 10:14 · Membro 0112
você também pode fazer uma imagem lógica, do HD montado como está agora.
faz um tempo que fiz isso, acho que pelo FTK Imager, ele cria um arquivo com extensão .L01
27/11/2024 10:14 · Membro 0023
Removendo o bitlocker já não é possível operar na imagem?

Origem 009 — 08/03/2025 15:31 a 15:31 — Acesso a volume protegido por BitLocker

08/03/2025 15:31 · Membro 0014
https://lucasteske.dev/pt/2024/01/tpm-2-extraindo-chaves-bitlocker

Origem 010 — 20/06/2025 09:36 a 11:31 — Imagem forense de mídia protegida por BitLocker

20/06/2025 09:36 · Membro 0125
Bom dia.
Peguei esse caso de notebook com HD criptografado, porém não estou conseguindo executar o comando manage-bde -off
20/06/2025 09:36 · Membro 0125
Diz que não é possível executar a operação pois o volume está bloqueado
20/06/2025 09:39 · Membro 0125
O note veio com a senha do Windows
20/06/2025 09:40 · Membro 0125
Uma opção que pensei é montar a imagem já adquirida e rodar no virtual box, pra desativar e fazer a aquisição pela VM. Tem como? Seria essa a melhor alternativa?
20/06/2025 09:40 · Membro 0003
Ele está ligado com bloqueador de escrita? 🤔
20/06/2025 09:41 · Membro 0125
Até conferi se o bloqueador de escrita da minha máquina estava ativo, mas não está
20/06/2025 09:41 · Membro 0125
Eu montei a imagem E01 com o Arsenal
20/06/2025 09:42 · Membro 0003
Eu pensei nessa possibilidade, de montar com o ftk imager. Tem uma opção de montar como somente leitura, ou leitura e escrita
20/06/2025 09:43 · Membro 0125
Montei com leitura e escrita
20/06/2025 09:43 · Membro 0125
Já estava acostumado a fazer isso quando vinha com bitlocker sem chave, daí só rodava o manage-bde -off e fazia a aquisição novamente
20/06/2025 09:43 · Membro 0125
Mas esse apresentou erro
20/06/2025 09:44 · Membro 0003
Acho que vale essa tentativa então
20/06/2025 09:44 · Membro 0125
Bleza. Obrigado [MENCAO]
20/06/2025 10:59 · Membro 0048
Acho que Não adianta pq está ativado o protector tpm, logo, a chave criptográfica é cifrada com enclave criptográfico da máquina.
20/06/2025 11:04 · Membro 0125
Entendi. Nem ligando o note e entrando com a senha do Windows fornecida, não haveria nada q pudesse ser feito?
20/06/2025 11:23 · Membro 0048
Aí sim, tem jeito. Mas não pode ter mexido no uefi, pois o bitlocker pode entrar no modo protegido e ai ele fica exigindo a chave de recuperação
20/06/2025 11:31 · Membro 0003
Um colega aqui uma vez fez isso, clonou o disco, subiu ele no notebook e tirou a criptografia nele.

Origem 011 — 09/09/2025 22:48 a 22:54 — Imagem forense de mídia protegida por BitLocker

09/09/2025 22:48 · Membro 0211
Alguém ha fez computador com HD soldado na placa mãe?

Peguei um positivo e pra resolver fiz um pen-drive botavel com kali Linux , fiz a imagem do HD usando o dd e joguei em outro pen-drive, ai fui processar a imagem no iped e vi que o HD está criptografado
09/09/2025 22:49 · Membro 0211
To como contornar isso sem ligar o Windows ( sei a senha)..?
09/09/2025 22:54 · Membro 0215
Você já fez o mais importante: preservou a mídia original e criou uma imagem. 👍
O fato de o HD estar criptografado não inviabiliza a análise, mas muda o fluxo: antes de processar com o IPED você precisa descriptografar a imagem usando a senha que você conhece.

Contexto

Quando o Windows usa BitLocker ou outro mecanismo de criptografia, o que está no disco bruto é ilegível até ser montado com a chave correta.

O dd apenas copiou os setores, ou seja, a imagem continua criptografada.

O IPED não consegue trabalhar direto em uma imagem criptografada.


Como contornar sem inicializar o Windows

Você pode descriptografar em ambiente Linux ou preparar a imagem antes de enviar ao IPED:

1. Identificar o tipo de criptografia

No Linux, rode:

file imagem.dd

ou

dislocker -V imagem.dd

Se for BitLocker, o dislocker é o caminho.

2. Usar o dislocker (para BitLocker)

Instale:

sudo apt-get install dislocker

Depois monte a imagem:

sudo mkdir /mnt/bitlocker
sudo mkdir /mnt/decrypt

sudo dislocker -V imagem.dd -uSENHA -- /mnt/bitlocker

(Substitua SENHA pela senha conhecida ou use -p se tiver a recovery key em hexadecimal.)

O comando gera um arquivo virtual /mnt/bitlocker/dislocker-file.
Monte esse arquivo em /mnt/decrypt:

sudo mount -o loop /mnt/bitlocker/dislocker-file /mnt/decrypt

Agora você tem acesso ao conteúdo descriptografado em /mnt/decrypt.

3. Criar uma nova imagem descriptografada

Se quiser levar ao IPED, pode gerar outra imagem a partir do volume já montado:

sudo dd if=/mnt/bitlocker/dislocker-file of=imagem_decriptada.dd bs=4M status=progress

ou usar ewfexport para criar um E01.

4. Processar no IPED

Aponte o IPED para a imagem descriptografada ou até mesmo para o diretório /mnt/decrypt.


---

📌 Resumo prático:
Você não precisa ligar o Windows. Monte a imagem com dislocker no Kali (ou outro Linux), usando a senha que já conhece, gere uma cópia descriptografada e só então rode o IPED.


---

Quer que eu monte um passo a passo completo (comandos exatos, ordem e verificações) para fazer isso no Kali, assumindo que o HD esteja com BitLocker?
09/09/2025 22:54 · Membro 0117
Alguns positivos estao com bitlocker com clearkey. Pode tentar montar no arsenal ou no ftk e ver se desbloqueia o volume automaticamente. Se pedir a chave de recuperação então está com tpm (e provavelmente foi mudado a opção secureboot da bios, o que dispararia a segurança e o Windows não irá botar sem a chave de recuperação tbm)

Origem 012 — 30/09/2025 15:43 a 16:47 — Imagem forense de mídia protegida por BitLocker

30/09/2025 15:43 · Membro 0061
Boa tarde. Alguém já fez ataque de força bruta a HD externo criptografado com bitlocker?
30/09/2025 16:00 · Membro 0105
Já fiz sim.

Mas apenas na versão 1 do bitlocker. Fiz com hashcat.

Tive que extrair as chaves da imagem com um software especifico no Linux. Aí com a chave fiz o ataque no hashcat.
30/09/2025 16:12 · Membro 0061
Nesse caso, a senha [SEGREDO]. No meu, não… 😓
30/09/2025 16:18 · Membro 0061
Recebi o HD externo com 2 celulares. Não tem nem onde procurar a chave de recuperação… pelo menos se tivessem mandado um computador junto 😣
30/09/2025 16:31 · Membro 0091
Em outro momento um colega disse q conseguiu com o axiom
30/09/2025 16:45 · Membro 0105
Esse HD é externo mesmo ou tem origem um notebook ou gabinete?
30/09/2025 16:45 · Membro 0105
Sim. Bem possivel tbm. Ele pode fornecer a opcao de BF ou ate bypass. Depende da versão do bitlocker e se há outras tecnologias de crypto envolvida.

Já consegui vários bypass com axiom <Mensagem editada>
30/09/2025 16:47 · Membro 0105
O chato do axiom, mas que resolve, é que precisa exportar a imagem decrypt para processar em outras ferramentas.
Mas pelo menos faz tranq esse processo.

Origem 013 — 24/01/2026 16:21 a 19:18 — Chave de recuperação e senha em volume BitLocker

24/01/2026 16:21 · Membro 0003
Microsoft dá chaves de segurança do Windows ao FBI em caso de fraude - Tudocelular.com https://share.google/CLk8kBF5dzfTrGHxW
24/01/2026 17:44 · Membro 0009
Não sabia q a Microsoft guardava essas informações
24/01/2026 17:57 · Membro 0043
<Mídia oculta>
Quando uma unidade é cifrada com o Bitlocker, é possível enviar a Chave de Recuperação para conta Microsoft ou Entra ID.
24/01/2026 19:02 · Membro 0009
<Mídia oculta>
Aqui diz q o Windows guarda automaticamente. Esse seria o X da questão.
24/01/2026 19:03 · Membro 0009
Nesse caso não teria interferência do usuário.
24/01/2026 19:18 · Membro 0043
Se estiver em uma rede com Azure Active Directory vai para lá e, em tese, a Microsoft teria acesso.
Que eu saiba, não é feito backup automaticamente nos outros casos...

Origem 014 — 09/02/2026 19:19 a 21:36 — Imagem forense de mídia protegida por BitLocker

09/02/2026 19:19 · Membro 0049
Difícil conseguir falar alguma coisa pela extração. Talvez cooperando, consegue pegar a senha [SEGREDO] se aparece alguma coisa no iTunes. Talvez ela mesma consiga solicitar a Apple e conseguir esta informação.
09/02/2026 20:05 · Membro 0150
<Mídia oculta>
boa noite, colegas! alguem ja precisou ter que usar algum dicionario de senhas para bitlocker no axion? se sim, como utilizou e se pode compartilhar o processo
09/02/2026 20:31 · Membro 0224
Já tentei e sem sucesso algum,
- uma vez eu estava com celular e com computador, gerei uma lista gigante com base no conteúdo do celular e nada.
- já tentei importar base da Internet
- já tentei gerar números e textos com base nas informações pessoais e nada
09/02/2026 20:31 · Membro 0224
Se alguém conseguir, conta o segredo
09/02/2026 20:39 · Membro 0049
Mas precisa ser no Axiom? Não pode quebrar em outro aplicativo e depois processar nele? Está com qual tipo de cifra do bitlocker (senha + TPM)?
09/02/2026 20:56 · Membro 0150
Qual outro app? N sei o tipo de cifra
09/02/2026 21:06 · Membro 0049
Passware por exemplo, bitlocker2john com John de Ripper, hashcat ou hashtopoles. A federal também tem uma solução nível nerd blackhat que não precisa de escutar, barramento nem osciloscópio, explora uma vulnerabilidade do protocolo e tem grande chance de sucesso. Não sei o que precisa para tentar quebrar, só o hash ou do dispositivo inteiro. Posso olhar no IC amanhã ou se alguém da pode informar aqui.
09/02/2026 21:26 · Membro 0048
Para computadores com bitlocker com keyprotectors 7 e 11 há a possibilidade de se capturar a chave na RAM usando vulnerabilidade:
https://github.com/andigandhi/bitpixie
09/02/2026 21:27 · Membro 0218
Fizemos um sexta-feira, o trem eh top
09/02/2026 21:36 · Membro 0048
Basicamente e de forma bem simplificada: pegar imagem do disco, fazer um patch fazendo downgrade do bootloader por um que aceita boot pxe expondo a chave. Pegar essa imagem e subir em um servidor para servir de bootp (tftp) PXE, configurar o UEfi do note/computador(mantendo a a midia cifrada) para bootar pela rede. Copiar a chave VMK da ram. Decifrar a imagem usando a chave.
Só funfa em computadores bitlocker com apenas protector 7 e 11(pcr 7 e 11) ativos. O 7 é de bootseguro uefi e o 11 é o de bootloader assinado <Mensagem editada>