アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Passware の Instant decryption of BitLocker To Go USB disks機能

みんな大好き? F-Response と Passware の組み合わせで、BitLocker のリカバリキーの確認が出来るデモが公開されていますね。Twitter に流れていたんですが見るの忘れていました。

F-Response and Passware, Bitlocker Access in Real-Time
http://www.f-response.com/index.php?option=com_content&view=article&id=253:f-response-and-passware-bitlocker-access-in-real-time

メモリイメージと、暗号化ディスクの両方を使うことで、BitLocker のリカバリキーを取得するみたいですが、ターゲットになっていた F: は、この作業を行なう前に一度マウントされていたという理解でいいんでしょうかね?
この動画でよくわからなかったのは、事前に BitLocker to Go のディスクがマウントされたことがあったのか、それとも事前にマウントされていない状態でも OK だったのかよくわかりません。
その他、FireWire Memory Imager を使ってメモリイメージを取得する手順が Passware のサイトに掲載されています。(メモリイメージの取得自体はwin32ddでも何でも良いみたいですが)

Passware Kit Enterprise and Passware Kit Forensic decrypt hard disks encrypted with BitLocker or TrueCrypt.
http://www.lostpassword.com/hdd-decryption.htm

F-Response は手元にあるんですが、Passware がないので試せないなぁ。
リカバリキーが取得できれば、BitLocker で暗号化されたデバイスでも、EnCase と EDS モジュールを使えば復号状態でマウントすることが可能になるので、なかなか便利そうな機能に思えます。*1

*1:Ver6.17時点ではWindows 7のBitLockerには対応できていませんけど