利用内存转储绕过Windows 11 BitLocker加密
2024-12-30
本文介绍了一种通过内存转储绕过Windows 11 BitLocker加密的方法。攻击者通过物理访问设备,在系统重启时获取内存中的完整卷加密密钥(FVEK)。作者使用名为Memory-Dump-UEFI的工具,在UEFI环境下完成内存转储,并从转储文件中提取FVEK密钥。文章详细介绍了步骤,包括创建可启动U盘、强制重启系统、从U盘启动工具、分析内存转储文件,以及使用pool tags定位FVEK密钥等。最后,文章强调了使用合适的工具(如dislocker)来解锁BitLocker保护的分区。