Windows 11 में BitLocker बायपास के लिए मेमरी डंप करने का तरीका

 (noinitrd.github.io)
2 पॉइंट द्वारा GN⁺ 2025-01-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • परिचय

    • यह लेख Windows 11 (संस्करण 24H2) में BitLocker encryption को बायपास करने का तरीका समझाता है। यह मेमरी से full volume encryption key (FVEK) निकालकर किया जाता है.

  • पृष्ठभूमि

    • अगर किसी हमलावर को डिवाइस तक physical access मिल जाए, तो वह कंप्यूटर को अचानक restart करके हाल ही में चल रहे Windows instance की RAM का dump लेकर संवेदनशील जानकारी हासिल कर सकता है.
    • RAM की सामग्री बिजली कटने पर जल्दी खराब हो जाती है, इसलिए इसे रोकने के लिए RAM को physically ठंडा रखना या external power source का उपयोग करने जैसे तरीके मौजूद हैं.
    • Secure Boot एक security standard है जो डिवाइस स्टार्ट होने पर क्या चल सकता है इसे सीमित करता है, लेकिन इसे बायपास करने के तरीके मौजूद हैं.

  • चरण 1: bootable USB डिवाइस बनाना

    • आपको ऐसा USB storage device तैयार करना होगा जिसकी क्षमता target system की RAM से अधिक हो.
    • bootable application बनाने और उपयोग करने के लिए flashimage.sh script का उपयोग किया जाता है.

  • चरण 2: target system को अचानक restart करना

    • लक्ष्य यह है कि कंप्यूटर पूरी तरह बंद रहने का समय न्यूनतम हो.
    • Windows लोड होते समय, login screen आने से पहले system को restart करना प्रभावी होता है.

  • चरण 3: USB डिवाइस से boot करना

    • USB डिवाइस से तुरंत Memory-Dump-UEFI में boot करके UEFI shell तक पहुँचा जाता है.
    • मेमरी dump बनाने के लिए app.efi चलाया जाता है.

  • चरण 4: dump का विश्लेषण

    • FAT32 file system की 4GB file size limit के कारण कई dump बन सकते हैं.
    • कई dump को एक में जोड़ने के लिए concatDumps प्रोग्राम का उपयोग किया जा सकता है.
    • dump के भीतर खास pattern खोजने के लिए searchMem प्रोग्राम का उपयोग किया जा सकता है.

  • pool tag

    • pool tag, Windows kernel memory pool के स्थान को दर्शाने वाला 4-अक्षरी identifier है.
    • pooltag.txt file में विभिन्न pool tag और उनके उद्देश्य शामिल हैं.

  • FVEK key recovery

    • dFVE pool tag के तहत FVEK key मिल सकती है, जो BitLocker drive encryption के full volume encryption crash dump filter से संबंधित है.
    • None tag के तहत भी key मिल सकती है.

  • अगले चरण

    • प्राप्त key में उपयोग किए गए algorithm को जोड़ना होगा.
    • drive को unlock करने के लिए dislocker tool का उपयोग किया जा सकता है.

  • अंतिम नोट

    • BitLocker के implementation को समझने के लिए kernel-level debugging करना सबसे बेहतर है.
    • Microsoft keys को नष्ट करने की कोशिश करता है, लेकिन वह सभी keys को नष्ट नहीं कर पाता.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-01-01
Hacker News की राय

  • BitLocker सबसे बड़ा लाभ तब देता है जब TPM(PCR 7+11) और PIN को साथ में इस्तेमाल किया जाए। PIN के बिना FVEK नहीं पढ़ा जा सकता, और अगर गलत PIN कई बार डाला जाए तो TPM dictionary attack lockout mode में चला जाता है

    • Linux पर इसी तरह का सेटअप आज़मा रहा हूँ, और systemd-cryptsetup/cryptenroll सिर्फ़ LUKS के लिए है, इसलिए fscrypt से sensitive directories को encrypt करने की कोशिश कर रहा हूँ
    • TPM को बुनियादी स्तर से आगे implement करना काफ़ी मुश्किल है
    • यह एक व्यक्तिगत प्रोजेक्ट है, पूरा होने पर इसके बारे में लिखूँगा

  • मुझे BitLocker का security model समझ नहीं आता। ज़्यादातर installations में power button दबाते ही Windows boot हो जाता है

    • अगर encrypted hard drive वाली मशीन चोरी हो जाए, तो क्या बस उसे चालू कर देना ही काफ़ी है, यही सवाल है
    • मेरा मानना है कि SPI bus का traffic encrypted होना चाहिए, लेकिन लगता है कि मशीन आसानी से key दे देगी
    • LUKS में drive unlock करने के लिए password prompt होता है

  • एक खास attack को PC Client Work Group Platform Reset Attack Mitigation specification पूरी तरह रोकती है

    • अगर operating system cleanly shut down न हो, तो firmware RAM को wipe कर देता है और अगले boot से पहले रुक जाता है
    • समझ नहीं आता कि Windows इसका इस्तेमाल नहीं करता, या test किए गए system ने इसे implement नहीं किया था

  • मैं इस लेख का लेखक हूँ। कोई सवाल हो तो मुझे message भेजें। इस पर काम करना मज़ेदार था और भागीदारी के लिए धन्यवाद

  • Windows 11 BitLocker bypass पर 38C3 से जुड़ी एक talk है

  • ऐसे "enterprise" machines भी हैं जिनमें physical access वाला कोई भी attacker बाहर से "sudden restart" नहीं कर सकता

    • अफ़सोस है कि आम तौर पर इस्तेमाल होने वाले OEM अब भी "sudden restart" को काफ़ी आसानी से allow करते हैं

  • BitLocker केवल तब सुरक्षा देता है जब कंप्यूटर बंद हो, और इसे boot password माँगने के लिए configure करना चाहिए

  • Windows memory encryption options और memory compression का सुझाव देता है

    • Intel और AMD इसे CPU में built-in करने पर काम कर रहे हैं, और target laptops नहीं बल्कि multiple VM वाले servers हैं

  • target machine की memory dump पढ़ने वाले exploit के बारे में सोचते हुए, अगर physical access हो तो क्या कोई "interposer" device data को copy या modify कर सकती है?

    • क्या Gameboy के "Action Replay" device की तरह memory को modify करना संभव है, यही जिज्ञासा है
    • क्या RAM और motherboard के बीच कोई device लगाकर memory state capture की जा सकती है, यह सवाल है
    • मैं electrical engineer नहीं हूँ, इसलिए यह विचार अव्यावहारिक हो सकता है, लेकिन physical space और bandwidth limits होने की संभावना लगती है

  • BitLocker-encrypted disk वाली एक Surface 5 Pro boot के दौरान तेज़ी से BSOD में चली जाती है

    • सोच रहा हूँ कि क्या यह इस स्थिति में काम करेगा, और disk से photos निकालने के लिए किसी exploit का इंतज़ार कर रहा हूँ