Umgehen der BitLocker-Verschlüsselung unter Windows 11 durch Speicherauslagerung
Dieser Artikel zeigt, wie man die BitLocker-Verschlüsselung unter Windows 11 umgeht, indem man den vollständigen Volume-Verschlüsselungsschlüssel (FVEK) aus dem Speicher extrahiert. Durch physischen Zugriff auf das Gerät und einen abrupten Neustart kann ein Angreifer den Inhalt des RAM erfassen, der den FVEK enthalten kann. Der Autor verwendet eine UEFI-Anwendung, Memory-Dump-UEFI, um dies zu erreichen. Der Prozess umfasst das Erstellen eines bootfähigen USB-Laufwerks, das gewaltsame Neustarten des Systems, das Booten vom USB-Laufwerk, die Analyse des Speicherauslagerungsdumps und die Verwendung von Pool-Tags, um den FVEK zu lokalisieren. Der Artikel beschreibt diese Schritte im Detail und betont die Verwendung von Tools wie dislocker, um die BitLocker-geschützte Partition zu entsperren. Die Methode ist nicht narrensicher und hängt von mehreren Faktoren ab, wie der Geschwindigkeit des Speicherauslagerungsdumps und dem Zeitpunkt des Neustarts.