みんな大好き? F-Response と Passware の組み合わせで、BitLocker のリカバリキーの確認が出来るデモが公開されていますね。Twitter に流れていたんですが見るの忘れていました。
F-Response and Passware, Bitlocker Access in Real-Time
http://www.f-response.com/index.php?option=com_content&view=article&id=253:f-response-and-passware-bitlocker-access-in-real-time
メモリイメージと、暗号化ディスクの両方を使うことで、BitLocker のリカバリキーを取得するみたいですが、ターゲットになっていた F: は、この作業を行なう前に一度マウントされていたという理解でいいんでしょうかね?
この動画でよくわからなかったのは、事前に BitLocker to Go のディスクがマウントされたことがあったのか、それとも事前にマウントされていない状態でも OK だったのかよくわかりません。
その他、FireWire Memory Imager を使ってメモリイメージを取得する手順が Passware のサイトに掲載されています。(メモリイメージの取得自体はwin32ddでも何でも良いみたいですが)
Passware Kit Enterprise and Passware Kit Forensic decrypt hard disks encrypted with BitLocker or TrueCrypt.
http://www.lostpassword.com/hdd-decryption.htm
F-Response は手元にあるんですが、Passware がないので試せないなぁ。
リカバリキーが取得できれば、BitLocker で暗号化されたデバイスでも、EnCase と EDS モジュールを使えば復号状態でマウントすることが可能になるので、なかなか便利そうな機能に思えます。*1