メモリダンプによるWindows 11 BitLocker暗号化の回避
2024-12-30
この記事では、メモリからフルボリューム暗号化キー(FVEK)を抽出することにより、Windows 11のBitLocker暗号化を回避する方法を示します。デバイスへの物理的なアクセスと急な再起動により、攻撃者はRAMの内容をキャプチャし、FVEKが含まれている可能性があります。著者は、これを達成するためにUEFIアプリケーションであるMemory-Dump-UEFIを使用しています。このプロセスには、ブータブルUSBの作成、システムの強制再起動、USBからのブート、メモリダンプの分析、およびプールタグを使用してFVEKの特定が含まれます。この記事ではこれらの手順を詳しく説明し、BitLockerで保護されたパーティションのロックを解除するためにdislockerなどのツールを使用することを強調しています。この方法は完璧ではなく、メモリダンプの速度や再起動のタイミングなど、いくつかの要因に依存します。
続きを読む