메모리 덤프를 이용한 Windows 11 BitLocker 암호화 우회
2024-12-30
이 글에서는 메모리에서 전체 볼륨 암호화 키(FVEK)를 추출하여 Windows 11의 BitLocker 암호화를 우회하는 방법을 보여줍니다. 장치에 대한 물리적 접근과 갑작스러운 재부팅을 통해 공격자는 RAM 내용을 캡처할 수 있으며, 여기에는 FVEK가 포함될 수 있습니다. 저자는 이를 달성하기 위해 Memory-Dump-UEFI라는 UEFI 애플리케이션을 사용합니다. 이 프로세스에는 부팅 가능한 USB 생성, 시스템의 강제 재부팅, USB에서 부팅, 메모리 덤프 분석, 그리고 풀 태그를 사용하여 FVEK를 찾는 것이 포함됩니다. 이 글에서는 이러한 단계들을 자세히 설명하고 BitLocker로 보호된 파티션의 잠금을 해제하기 위해 dislocker와 같은 도구를 사용하는 것을 강조합니다. 이 방법은 완벽하지 않으며 메모리 덤프 속도 및 재부팅 시점 등 여러 요소에 따라 달라집니다.