Acesso a volume protegido por BitLocker
Categoria: Criptografia, BitLocker, VeraCrypt, FileVault, LUKS e senhas
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre acesso a volume protegido por BitLocker no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como IPED, Magnet AXIOM, FTK, Hashcat, John the Ripper, BitLocker, iTunes. Os termos mais recorrentes neste tema incluem: imagem, bitlocker, chave, mas, senha, windows, pra, pode, fazer, ele. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Buscar chave de recuperação em documentação, conta Microsoft ou ambiente corporativo autorizado.
- Preservar imagem antes de qualquer tentativa invasiva.
- Registrar quando TPM/senha/chave inviabiliza o acesso ao conteúdo.
Ferramentas, sistemas ou marcas citadas
IPEDMagnet AXIOMFTKHashcatJohn the RipperBitLockeriTunesPalavras-chave recorrentes
imagembitlockerchavemassenhawindowsprapodefazereleestaftktpmnotebookcasoaxiomusuariossdDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 13/12/2018 17:51 a 21:08 — Imagem forense de mídia protegida por BitLocker
Boa tarde. Peguei um hd de um note para fazer a imagem e ao conectar ao computador, recebo a seguinte mensagem:
Alguém de vcs tem experiência com dispositivos criptografados por bitlocker?
<Mídia oculta>
Como_criar_imagem_forense_de_discos_com_Bitlocker_ativado_rKxeDqX
Como_criar_imagem_forense_de_discos_com_Bitlocker_ativado_rKxeDqX
O problema é a senha q não temos acesso
Nesse caso apenas devolve e relata a impossibilidade
Bitlocker tem criptografia com chaves de 256 bits
Inviável decifrar por força bruta
Nossa versão do Windows aqui não tem bitlocker, então não pude realizar alguns testes... queria saber se obrigatoriamente o bitlocker precisa de uma senha de usuário para acessar o disco
Ou se ele pode ser configurado para usar a senha de usuário do Windows, por exemplo
Olá Thaíssa. Acredito que não pode usar a senha do usuário
Ao habilitar o bitlocker em um volume windows as opções são: salvar a key na conta online; salvar em um arquivo em outro volume; criar uma midia com a chave; anotar num "lugar" seguro
Bom, nesse caso, considerando que o q a delegada quer é comprovar, dentre outras coisas, obstrução de justiça, talvez o não fornecimento da senha possa ser um argumento
Se tiver as credenciais do usuário "online" do windows.. dá pra pegar a chave de recuperação
Ahhh aí então o laudo já tá feito heheh
Estava com esperança de que o usuário pudesse só habilitar a criptografia com uma série opções padrão e q isso ficasse transparente ao usuário, de modo que inclusive o acesso ao sistema operacional fosse permitido
Nesse caso, eu colocaria o hd de volta no note e tentaria usar normal
Acresito que autenticação do bitlocker [SEGREDO] antes da etapa de login na gui do Windows
Mas só em ter o bitlocker ativado, suponho que não seria um usuário "padrão"
Coloquei o hd de volta, rezei um pai-nosso e liguei o note... ele entrou no Windows normal, sem precisar de qualquer senha
Pense numa reza forte! 😁
Brincadeiras à parte.. é pq ele deve ter o TPM ativado na BIOS... daí no boot ele já autentica e permite o acesso...
Não estudei o bitlocker à fundo... estou fazendo suposições como usuário hehehe
Aqui ou acolá, quando faço teste de instalar outro SO no mesmo "ambiente" ... ele pede a chave de recuperação no boot ...
E o no pc de teste, tenho o tpm habilitado
<Mídia oculta>
Tenho ajuda de um super herói às vezes.
Tenho ajuda de um super herói às vezes.
Pois é, estava meio resistente pq ligar o note do suspeito não é um procedimento muito “pericial”, mas não consegui pensar em outra possibilidade
Já que ligou, agora faz a imagem com o ftk imager dos disco hot
Exatamente... deixei fazendo
Amanhã teremos cenas dos próximos capítulos
É, consta no laudo o procedimento e pronto
Origem 002 — 14/12/2018 12:11 a 12:49 — Imagem forense de mídia protegida por BitLocker
Como disse q teria cenas dos próximos capítulos, fiz a imagem do hd no próprio note, usando o FTK
A imagem tbem veio criptografada
Fiz um dump da memória na esperança de que a chave pudesse estar lá
Mas por ser Windows 10, ainda não achei plugin no Volatility para recuperar a chave do bitlocker no dump
Como o quesito pede dados apagados, só a cópia lógica não serve
Pensei em simplesmente desativar o Bitlocker no note e fazer nova imagem
Alguém tem alguma sugestão?
Só para contextualizar quem não acompanhou minha saga ontem, tirei o hd de um notebook e na hora de fazer a imagem, descobri q estava criptografado. Voltei o HD para o note, liguei, ele entrou no SO normal. Fiz a imagem do HD em um HD externo e como disse, o volume de dados continua criptografado
Eu tentaria isso. Mas faria uma imagem lógica antes. Just in case...
Faz um espelhamento, e poe o HD espelho no notebook..
Acho q nao adianta. A partir do momento q desabilitar o bitlock, acredito que a chave [SEGREDO] perdida. Os dados do hd original não serão mais acessíveis.
É... Vou fazer a lógica mesmo, de todo o jeito, mas to desconfiada que não conseguirei desabilitar o bitlocker sem a chave
Ja q é possível acessar o SO nao teria uma forma de fazer o backup da chave de recuperação?
<Mídia oculta>
Tipo esses blogs comentam
Tipo esses blogs comentam
Obrigada... Vou tentar
De nada, se funcionar avisa nois
Origem 003 — 05/11/2020 14:42 a 14:48 — Imagem forense de mídia protegida por BitLocker
Pessoal, beleza? Boa tarde.
Eu tenho usando muito meu notebook pessoal pro trabalho. Estava pensando em criptografar o conteúdo.
Vcs acham o BitLocker é uma boa? Ou alguma outra sugestão? Ou besteira fazer isso?
Eu tenho usando muito meu notebook pessoal pro trabalho. Estava pensando em criptografar o conteúdo.
Vcs acham o BitLocker é uma boa? Ou alguma outra sugestão? Ou besteira fazer isso?
Boa questão!
Também aguardarei a "ajuda dos universitários".
Também aguardarei a "ajuda dos universitários".
Eu uso e ativei o bitlocker tanto no ssd de boot e no segundo disco... Não degradou muito a performance e pelo conteúdo que trabalhos acredito que seja uma necessidade
Uso FDE em ssd e discos sata com raid e tem muito boa performance
Origem 004 — 12/01/2024 17:23 a 18:14 — Imagem forense de mídia protegida por BitLocker
Boa tarde.
Estou com um note DELL com NVMe de 256Gb
Na hora de processar no IPED, mostrou como criptografado
Estou com um note DELL com NVMe de 256Gb
Na hora de processar no IPED, mostrou como criptografado
Liguei o note e ele estava sem senha para acesso.
Entretanto, pesquiso por bitlocker (com objetivo de desabilitar), mas não encontro nada
Entretanto, pesquiso por bitlocker (com objetivo de desabilitar), mas não encontro nada
Se o dispositivo estiver hot, pode abrir o terminal e executar o comando "manage-bde -status" pra verificar se de fato tá com bitlocker.
Se quiser, pode utilizar o FTK Imager ou o ferramenta da Arsenal (https://arsenalrecon.com/) pra verificar o status da imagem
Com o FTK Imager é só montar a imagem que o próprio WIndows já vai reconhecer como um volume com bitlocker.
Muitos volumes estão vindo criptografados, mas com o protector Clear Key do Bitlocker, ou seja, os dados estão cifrados mas acessíveis.
Se não me engano, a ferramenta Axiom já verifica se está nesse estado e decripta os dados.
Se não me engano, a ferramenta Axiom já verifica se está nesse estado e decripta os dados.
Montei a unidade com o FTK Imager e ela veio sem nada, aparentemente criptografada
Agora estou tentando decryptar com o manage-bde, mas ainda sem sucesso
Agora estou tentando decryptar com o manage-bde, mas ainda sem sucesso
Vou tentar montar com o Axiom
<Mídia oculta>
Fui no L pq foi o único q apareceu assim, com sinal que tinha "conteúdo"
Fui no L pq foi o único q apareceu assim, com sinal que tinha "conteúdo"
Tentei o comando aqui com K, mesmo erro
Primeiro tinha montado tudo com somente leitura. Depois pensei q o erro poderia ser isso e mudei pra escrita, mas continua dando erro
<Mídia oculta>
aqui mais detalhado a descrição de cada partição que identificou na imagem
aqui mais detalhado a descrição de cada partição que identificou na imagem
Acho que se fizer uma imagem bit a bit em outro disco e colocar no notebook questionado vai dar boot e entrar no windows...
Origem 005 — 31/01/2024 15:16 a 15:28 — Imagem forense de mídia protegida por BitLocker
Boa tarde. Espelhei um SSD de notebook Dell de uma vítima de homicídio, acusou bitlocker no Axiom, o qual fica pedindo a chave de recuperação. Me informaram a senha PIN do notebook mas não quero ligar o notebook com o SSD pra não alterar o estado das coisas. Qual seria o melhor procedimento? copiar a imagem q fiz para um HD e usálo pra logar com o PIN? Seria possível achar a chave de recuperação pra fornecer pro Axiom?
tenta converter a imagem .dd para .vmdk
e executar como virtual machine
hum, boa! deve dar uns paus de driver né?
no VMWare a execução é bem melhor
várias e várias vezes eu tento pelo Oracle Virtual Box e dá erro
e no VMWare misteriosamente aparece a tela do windows
mas aí fazendo isso tem algum comando q eu consigo dar pra pegar a chave de recuperação?
tenta executar o Windows pra ver o que vai acontecer
como virtual machine
mas já q vou ter q criar outro arquivo será q não é melhor eu copiar pra um HD clone mesmo e rodar no notebook?
pq aí o ssd q veio fica preservado
Se vc fez a imagem, a imagem n vai tá com o estado alterado, kkkk só o notebook!
Ontem pedi ajuda para o [NOME]
eheh, mas é um caso sensível q pode ser q peçam pra fazer perícia novamente aí melhor o ssd ficar 100% preservado
acho q vou até lacrar ele separadamente
Eu já montei no notebook e documentei bem os horários de ligar, coleta da recovery key [SEGREDO] de desligar. Mas deve dar pra clonar o HD e colocar na máquina. Só não pode modificar certos parâmetros da bios pra não dar trip no tpm.
Não consegui rodar a imagem na virtual box
o oracle virtual box tem um .exe pra isso
VBoxManage convertfromraw image.dd nova_imagem.vmdk --format VMDK
passa este comando
creio q vai rodar bem lento no hd clone pq se não me engano um ssd armazena os dados de forma espalhada no espaço de memória interno bem mais do q hds, deve ser uma bagunça pro hd magnético ficar indo pra lá e pra cá com a agulha suponho, mas vai ser um bom teste
Origem 006 — 31/01/2024 19:39 a 20:18 — Imagem forense de mídia protegida por BitLocker
Se o dispositivo tiver um chip Trusted Platform Module (TPM) provavelmente a chave do Bictlocker estará armazenada nele, sendo acessada e disponibilizada ao S.O. após o usuário digitar o PIN para logar no Windows, então, neste caso, não adiantará colocar a imagem do HD numa maquina virtual, pois mesmo com o PIN do usuário não será possível acessar a chave do Bitlocker no chip TPM, pois ele estará na placa mãe do dispositivo examinado. <Mensagem editada>
No tpm 2.0 (enclave criptográfico), o pin faz parte da composição da chave que é gerada no enclave junto outra chave que nunca sai do enclave. Igual o TEE dos celulares.
Aí neste caso, vale pegar um SSD igual e clonar
👍🏻 então esse vai ser o caminho mesmo, vou usar um HD clone no próprio notebook. Qual o comando ou programa pra se obter a chave de recuperação depois de logar?
Uma solução simples e eficaz para esse problema.
Pode tirar a cifra
Manage-bde off. Se não me engano
Acho que o [MENCAO] ou o [MENCAO] já comentaram aqui no grupo
Mas remove a cifra e depois ao clonar já vem descriptografada a nova imagem?
Pessoal comentou nas mensagens anteriores a essa
Para pegar a chave do Bitlocker, depois de logado no windows com o PIN do usuário, Abre o “Gerenciar o Bitlocker” (No windows 11 é esse o nome) procura uma opção “Fazer Backup da chave” em seguida escolhe entre imprimir a chave ou salvar em um arquivo.
Excelente, e no caso é passar essa chave pro axiom por exemplo?
Aqui utilizamos a chave obtida no FTK, então ele descriptografou a imagem e apresentou os arquivos normalmente. <Mensagem editada>
manage-bde -protectors –get C:
Esse caso foi chato viu
Origem 007 — 03/02/2024 15:47 a 16:03 — Acesso a volume protegido por BitLocker
Técnica muito legal pra quebrar Bitlocker com protector só TPM
Obrigado por compartilhar
STK-20240203-WA0008.webp (arquivo anexado)
STK-20240202-WA0024.webp (arquivo anexado)
Origem 008 — 27/11/2024 10:01 a 10:14 — Imagem forense de mídia protegida por BitLocker
Bom dia meus nobres colegas!
Estou com um probleminha aqui e quero ver se algum dos senhores tem uma solução.
Fiz uma imagem de um HD, na hora de processar a imagem o sistema de arquivos não foi reconhecido. Coloquei o HD no meu PC, usando um bloqueador de escrita, e a partição que não foi reconhecida estava com o bitlocker. No entanto, não estava criptografado, foi possível acessar os arquivos através do explorer. Tem alguma maneira de fazer a imagem, ignorando o bitlocker, para que reconheça a partição?
Estou com um probleminha aqui e quero ver se algum dos senhores tem uma solução.
Fiz uma imagem de um HD, na hora de processar a imagem o sistema de arquivos não foi reconhecido. Coloquei o HD no meu PC, usando um bloqueador de escrita, e a partição que não foi reconhecida estava com o bitlocker. No entanto, não estava criptografado, foi possível acessar os arquivos através do explorer. Tem alguma maneira de fazer a imagem, ignorando o bitlocker, para que reconheça a partição?
Talvez remover o bitlocker [SEGREDO] a imagem
Bom dia Mestre. Provavelmente está com Bitlocker, mas com protector clear key ou só via TPM.
Eu geraria uma .vmdk e removeria o Bit Locker por lá
Vale a pena vc montar a imagens com o Arsenal ou FTK Imager e verificar qual protector..
manage-bde -status "Letra do Volume Montado"
está com bitlocker, conforme eu disse
mas está sem proteção.
Como sugere fazer isso? Ligar o computador? Essa é minha dúvida.
Posso fazer um clone desse HD e tentar ligar tmb
Nao, monta a imagem, remove o bitlocker, depois faz outra imagem dela montada
você também pode fazer uma imagem lógica, do HD montado como está agora.
faz um tempo que fiz isso, acho que pelo FTK Imager, ele cria um arquivo com extensão .L01
faz um tempo que fiz isso, acho que pelo FTK Imager, ele cria um arquivo com extensão .L01
Removendo o bitlocker já não é possível operar na imagem?
Origem 009 — 08/03/2025 15:31 a 15:31 — Acesso a volume protegido por BitLocker
https://lucasteske.dev/pt/2024/01/tpm-2-extraindo-chaves-bitlocker
Origem 010 — 20/06/2025 09:36 a 11:31 — Imagem forense de mídia protegida por BitLocker
Bom dia.
Peguei esse caso de notebook com HD criptografado, porém não estou conseguindo executar o comando manage-bde -off
Peguei esse caso de notebook com HD criptografado, porém não estou conseguindo executar o comando manage-bde -off
Diz que não é possível executar a operação pois o volume está bloqueado
O note veio com a senha do Windows
Uma opção que pensei é montar a imagem já adquirida e rodar no virtual box, pra desativar e fazer a aquisição pela VM. Tem como? Seria essa a melhor alternativa?
Ele está ligado com bloqueador de escrita? 🤔
Até conferi se o bloqueador de escrita da minha máquina estava ativo, mas não está
Eu montei a imagem E01 com o Arsenal
Eu pensei nessa possibilidade, de montar com o ftk imager. Tem uma opção de montar como somente leitura, ou leitura e escrita
Montei com leitura e escrita
Já estava acostumado a fazer isso quando vinha com bitlocker sem chave, daí só rodava o manage-bde -off e fazia a aquisição novamente
Mas esse apresentou erro
Acho que vale essa tentativa então
Bleza. Obrigado [MENCAO]
Acho que Não adianta pq está ativado o protector tpm, logo, a chave criptográfica é cifrada com enclave criptográfico da máquina.
Entendi. Nem ligando o note e entrando com a senha do Windows fornecida, não haveria nada q pudesse ser feito?
Aí sim, tem jeito. Mas não pode ter mexido no uefi, pois o bitlocker pode entrar no modo protegido e ai ele fica exigindo a chave de recuperação
Um colega aqui uma vez fez isso, clonou o disco, subiu ele no notebook e tirou a criptografia nele.
Origem 011 — 09/09/2025 22:48 a 22:54 — Imagem forense de mídia protegida por BitLocker
Alguém ha fez computador com HD soldado na placa mãe?
Peguei um positivo e pra resolver fiz um pen-drive botavel com kali Linux , fiz a imagem do HD usando o dd e joguei em outro pen-drive, ai fui processar a imagem no iped e vi que o HD está criptografado
Peguei um positivo e pra resolver fiz um pen-drive botavel com kali Linux , fiz a imagem do HD usando o dd e joguei em outro pen-drive, ai fui processar a imagem no iped e vi que o HD está criptografado
To como contornar isso sem ligar o Windows ( sei a senha)..?
Você já fez o mais importante: preservou a mídia original e criou uma imagem. 👍
O fato de o HD estar criptografado não inviabiliza a análise, mas muda o fluxo: antes de processar com o IPED você precisa descriptografar a imagem usando a senha que você conhece.
Contexto
Quando o Windows usa BitLocker ou outro mecanismo de criptografia, o que está no disco bruto é ilegível até ser montado com a chave correta.
O dd apenas copiou os setores, ou seja, a imagem continua criptografada.
O IPED não consegue trabalhar direto em uma imagem criptografada.
Como contornar sem inicializar o Windows
Você pode descriptografar em ambiente Linux ou preparar a imagem antes de enviar ao IPED:
1. Identificar o tipo de criptografia
No Linux, rode:
file imagem.dd
ou
dislocker -V imagem.dd
Se for BitLocker, o dislocker é o caminho.
2. Usar o dislocker (para BitLocker)
Instale:
sudo apt-get install dislocker
Depois monte a imagem:
sudo mkdir /mnt/bitlocker
sudo mkdir /mnt/decrypt
sudo dislocker -V imagem.dd -uSENHA -- /mnt/bitlocker
(Substitua SENHA pela senha conhecida ou use -p se tiver a recovery key em hexadecimal.)
O comando gera um arquivo virtual /mnt/bitlocker/dislocker-file.
Monte esse arquivo em /mnt/decrypt:
sudo mount -o loop /mnt/bitlocker/dislocker-file /mnt/decrypt
Agora você tem acesso ao conteúdo descriptografado em /mnt/decrypt.
3. Criar uma nova imagem descriptografada
Se quiser levar ao IPED, pode gerar outra imagem a partir do volume já montado:
sudo dd if=/mnt/bitlocker/dislocker-file of=imagem_decriptada.dd bs=4M status=progress
ou usar ewfexport para criar um E01.
4. Processar no IPED
Aponte o IPED para a imagem descriptografada ou até mesmo para o diretório /mnt/decrypt.
---
📌 Resumo prático:
Você não precisa ligar o Windows. Monte a imagem com dislocker no Kali (ou outro Linux), usando a senha que já conhece, gere uma cópia descriptografada e só então rode o IPED.
---
Quer que eu monte um passo a passo completo (comandos exatos, ordem e verificações) para fazer isso no Kali, assumindo que o HD esteja com BitLocker?
O fato de o HD estar criptografado não inviabiliza a análise, mas muda o fluxo: antes de processar com o IPED você precisa descriptografar a imagem usando a senha que você conhece.
Contexto
Quando o Windows usa BitLocker ou outro mecanismo de criptografia, o que está no disco bruto é ilegível até ser montado com a chave correta.
O dd apenas copiou os setores, ou seja, a imagem continua criptografada.
O IPED não consegue trabalhar direto em uma imagem criptografada.
Como contornar sem inicializar o Windows
Você pode descriptografar em ambiente Linux ou preparar a imagem antes de enviar ao IPED:
1. Identificar o tipo de criptografia
No Linux, rode:
file imagem.dd
ou
dislocker -V imagem.dd
Se for BitLocker, o dislocker é o caminho.
2. Usar o dislocker (para BitLocker)
Instale:
sudo apt-get install dislocker
Depois monte a imagem:
sudo mkdir /mnt/bitlocker
sudo mkdir /mnt/decrypt
sudo dislocker -V imagem.dd -uSENHA -- /mnt/bitlocker
(Substitua SENHA pela senha conhecida ou use -p se tiver a recovery key em hexadecimal.)
O comando gera um arquivo virtual /mnt/bitlocker/dislocker-file.
Monte esse arquivo em /mnt/decrypt:
sudo mount -o loop /mnt/bitlocker/dislocker-file /mnt/decrypt
Agora você tem acesso ao conteúdo descriptografado em /mnt/decrypt.
3. Criar uma nova imagem descriptografada
Se quiser levar ao IPED, pode gerar outra imagem a partir do volume já montado:
sudo dd if=/mnt/bitlocker/dislocker-file of=imagem_decriptada.dd bs=4M status=progress
ou usar ewfexport para criar um E01.
4. Processar no IPED
Aponte o IPED para a imagem descriptografada ou até mesmo para o diretório /mnt/decrypt.
---
📌 Resumo prático:
Você não precisa ligar o Windows. Monte a imagem com dislocker no Kali (ou outro Linux), usando a senha que já conhece, gere uma cópia descriptografada e só então rode o IPED.
---
Quer que eu monte um passo a passo completo (comandos exatos, ordem e verificações) para fazer isso no Kali, assumindo que o HD esteja com BitLocker?
Alguns positivos estao com bitlocker com clearkey. Pode tentar montar no arsenal ou no ftk e ver se desbloqueia o volume automaticamente. Se pedir a chave de recuperação então está com tpm (e provavelmente foi mudado a opção secureboot da bios, o que dispararia a segurança e o Windows não irá botar sem a chave de recuperação tbm)
Origem 012 — 30/09/2025 15:43 a 16:47 — Imagem forense de mídia protegida por BitLocker
Boa tarde. Alguém já fez ataque de força bruta a HD externo criptografado com bitlocker?
Já fiz sim.
Mas apenas na versão 1 do bitlocker. Fiz com hashcat.
Tive que extrair as chaves da imagem com um software especifico no Linux. Aí com a chave fiz o ataque no hashcat.
Mas apenas na versão 1 do bitlocker. Fiz com hashcat.
Tive que extrair as chaves da imagem com um software especifico no Linux. Aí com a chave fiz o ataque no hashcat.
Nesse caso, a senha [SEGREDO]. No meu, não… 😓
Recebi o HD externo com 2 celulares. Não tem nem onde procurar a chave de recuperação… pelo menos se tivessem mandado um computador junto 😣
Em outro momento um colega disse q conseguiu com o axiom
Esse HD é externo mesmo ou tem origem um notebook ou gabinete?
Sim. Bem possivel tbm. Ele pode fornecer a opcao de BF ou ate bypass. Depende da versão do bitlocker e se há outras tecnologias de crypto envolvida.
Já consegui vários bypass com axiom <Mensagem editada>
Já consegui vários bypass com axiom <Mensagem editada>
O chato do axiom, mas que resolve, é que precisa exportar a imagem decrypt para processar em outras ferramentas.
Mas pelo menos faz tranq esse processo.
Mas pelo menos faz tranq esse processo.
Origem 013 — 24/01/2026 16:21 a 19:18 — Chave de recuperação e senha em volume BitLocker
Microsoft dá chaves de segurança do Windows ao FBI em caso de fraude - Tudocelular.com https://share.google/CLk8kBF5dzfTrGHxW
Não sabia q a Microsoft guardava essas informações
<Mídia oculta>
Quando uma unidade é cifrada com o Bitlocker, é possível enviar a Chave de Recuperação para conta Microsoft ou Entra ID.
Quando uma unidade é cifrada com o Bitlocker, é possível enviar a Chave de Recuperação para conta Microsoft ou Entra ID.
<Mídia oculta>
Aqui diz q o Windows guarda automaticamente. Esse seria o X da questão.
Aqui diz q o Windows guarda automaticamente. Esse seria o X da questão.
Nesse caso não teria interferência do usuário.
Se estiver em uma rede com Azure Active Directory vai para lá e, em tese, a Microsoft teria acesso.
Que eu saiba, não é feito backup automaticamente nos outros casos...
Que eu saiba, não é feito backup automaticamente nos outros casos...
Origem 014 — 09/02/2026 19:19 a 21:36 — Imagem forense de mídia protegida por BitLocker
Difícil conseguir falar alguma coisa pela extração. Talvez cooperando, consegue pegar a senha [SEGREDO] se aparece alguma coisa no iTunes. Talvez ela mesma consiga solicitar a Apple e conseguir esta informação.
<Mídia oculta>
boa noite, colegas! alguem ja precisou ter que usar algum dicionario de senhas para bitlocker no axion? se sim, como utilizou e se pode compartilhar o processo
boa noite, colegas! alguem ja precisou ter que usar algum dicionario de senhas para bitlocker no axion? se sim, como utilizou e se pode compartilhar o processo
Já tentei e sem sucesso algum,
- uma vez eu estava com celular e com computador, gerei uma lista gigante com base no conteúdo do celular e nada.
- já tentei importar base da Internet
- já tentei gerar números e textos com base nas informações pessoais e nada
- uma vez eu estava com celular e com computador, gerei uma lista gigante com base no conteúdo do celular e nada.
- já tentei importar base da Internet
- já tentei gerar números e textos com base nas informações pessoais e nada
Se alguém conseguir, conta o segredo
Mas precisa ser no Axiom? Não pode quebrar em outro aplicativo e depois processar nele? Está com qual tipo de cifra do bitlocker (senha + TPM)?
Qual outro app? N sei o tipo de cifra
Passware por exemplo, bitlocker2john com John de Ripper, hashcat ou hashtopoles. A federal também tem uma solução nível nerd blackhat que não precisa de escutar, barramento nem osciloscópio, explora uma vulnerabilidade do protocolo e tem grande chance de sucesso. Não sei o que precisa para tentar quebrar, só o hash ou do dispositivo inteiro. Posso olhar no IC amanhã ou se alguém da pode informar aqui.
Para computadores com bitlocker com keyprotectors 7 e 11 há a possibilidade de se capturar a chave na RAM usando vulnerabilidade:
https://github.com/andigandhi/bitpixie
https://github.com/andigandhi/bitpixie
Fizemos um sexta-feira, o trem eh top
Basicamente e de forma bem simplificada: pegar imagem do disco, fazer um patch fazendo downgrade do bootloader por um que aceita boot pxe expondo a chave. Pegar essa imagem e subir em um servidor para servir de bootp (tftp) PXE, configurar o UEfi do note/computador(mantendo a a midia cifrada) para bootar pela rede. Copiar a chave VMK da ram. Decifrar a imagem usando a chave.
Só funfa em computadores bitlocker com apenas protector 7 e 11(pcr 7 e 11) ativos. O 7 é de bootseguro uefi e o 11 é o de bootloader assinado <Mensagem editada>
Só funfa em computadores bitlocker com apenas protector 7 e 11(pcr 7 e 11) ativos. O 7 é de bootseguro uefi e o 11 é o de bootloader assinado <Mensagem editada>