PTT數位生活區 / PC_Shopping (個人電腦購買)

Re: [閒聊] 張文的筆電是怎麼破解的

看板PC_Shopping (個人電腦購買)作者 (function(){})()時間2月前 (2026/01/16 01:55), 編輯推噓25(25078)
留言103則, 29人參與, 2月前最新討論串3/4 (看更多)
剛剛快速惡補 BitLocker 知識+問人得出一點頭緒 首先 BitLocker 是沒辦法繞過的,只能想辦法解出金鑰 從底層機制上來說,金鑰一直都在硬碟上,但被加密過 而且金鑰不只一把 真正拿來加密的資料的 FVEK 被 VMK 加密,VMK 又被 TPM 加密 預設情況下沒有加上額外的保護機制 (例如開機輸入 PIN 碼或插入 USB 啟動金鑰) 那就是只有 TPM 本身加密而已 除此之外為了避免特殊情況下硬體損毀金鑰可能解不出來 還會有一把復原金鑰要求使用者保存下來 這把復原金鑰可以直接解出 VMK,進而解出 FVEK 再解出資料 有登入 Microsoft 帳號的情況下這把復原金鑰會被備份到雲端 所以最快解 BitLocker 的方式可能是發函要求微軟提供 那不走這個方式解鎖,可能是微軟拒絕提供或是使用者根本沒登入微軟帳號 假設使用者沒有啟用 TPM PIN 或外部啟動金鑰 那就是只看 TPM 本身配置是否能解出 VMK TPM 會檢查 PCR 是否符合決定要不要解 VMK PCR 一般會看 UEFI、microcode、secure boot、 boot manager、系統其他硬體、TPM 本身配置 以上各項最終都會算出一個雜湊值 再跟 TPM 內部紀錄的已知 PCR 雜湊值比對是否相同 這部分就是華碩可以介入的地方 透過找到同批主機板確認 rev 相同沒換晶片 UEFI 韌體刷回指定版本、覆寫主機板序號等等 這部分有些東西是有簽章加密的,不是任何人都可以刷 只有擁有原始金鑰才可以刷 最後的最後,因為現在大多電腦都沒有獨立 TPM 模組 而是使用 CPU 內建的 fTPM 每顆 CPU 都有獨一無二的 HUK TPM 在檢查 PCR 全部符合後,會用 HUK 算出 SRK 再算出 VMK 所以原本的 CPU 還要移植過來,否則這條路也行不通 如果有自行換過 CPU 應該都會記得 換完第一次開機 BIOS 會跳重設 fTPM 選項 就是因為換 CPU 導致 HUK 換了,fTPM 對不起來只能重設 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.245.37 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1768499728.A.8FE.html
01/16 02:09, 2月前 , 1F
嗯嗯對啦 跟我想的一樣 被你先說了
01/16 02:09, 1F
01/16 02:16, 2月前 , 2F
沒有那麼迂迴 就是檢查公鑰而已 其他只是
01/16 02:16, 2F
01/16 02:16, 2月前 , 3F
在額外資訊下可以少做一點檢查
01/16 02:16, 3F
01/16 02:17, 2月前 , 4F
請問二樓高見
01/16 02:17, 4F
01/16 02:20, 2月前 , 5F
這跟維修iphone一樣道理, 有加密的元件
01/16 02:20, 5F
01/16 02:20, 2月前 , 6F
搬板必須整套搬過去 否則該部份就會失能
01/16 02:20, 6F
01/16 02:22, 2月前 , 7F
如果是flash配套有缺 裡面資料就毀了
01/16 02:22, 7F
01/16 02:23, 2月前 , 8F
精華,大致上就是得搬板、覆蓋序號
01/16 02:23, 8F
01/16 02:24, 2月前 , 9F
整套安全開機可信賴的話破解會費很大功夫
01/16 02:24, 9F
01/16 02:26, 2月前 , 10F
三爽能提供的技術層最多是修物理故障
01/16 02:26, 10F
01/16 02:26, 2月前 , 11F
SSD沒被燒壞真的是阿彌陀佛
01/16 02:26, 11F
01/16 02:27, 2月前 , 12F
也可能是看上使用SED加密可以走後門
01/16 02:27, 12F
01/16 02:28, 2月前 , 13F
但微軟也針對這點將Bitlocker預設軟加密
01/16 02:28, 13F
01/16 02:28, 2月前 , 14F
所以這路沒辦法走
01/16 02:28, 14F
01/16 02:50, 2月前 , 15F
我猜三星只是幫忙複製 SSD 而已,畢竟數
01/16 02:50, 15F
01/16 02:50, 2月前 , 16F
位鑑識正常來說是不可以對原始資料做破壞
01/16 02:50, 16F
01/16 02:50, 2月前 , 17F
性操作的,一般都是用備份檔才能放心操作
01/16 02:50, 17F
01/16 02:50, 2月前 , 18F
。但一般情況下複製 SSD 會讓 PCR 失效,
01/16 02:50, 18F
01/16 02:50, 2月前 , 19F
所以可能需要原廠去把 SSD 韌體也重刷成
01/16 02:50, 19F
01/16 02:50, 2月前 , 20F
跟原 SSD 一模一樣
01/16 02:50, 20F
01/16 03:07, 2月前 , 21F
對的,可能是直接客製一模一樣的SSD
01/16 03:07, 21F
01/16 03:39, 2月前 , 22F
BitLocker 本身確實難解,但「預設
01/16 03:39, 22F
01/16 03:39, 2月前 , 23F
的 TPM 模式」根本就是開後門給專業
01/16 03:39, 23F
01/16 03:39, 2月前 , 24F
人士走。只要你沒設定「開機 PIN 碼
01/16 03:39, 24F
01/16 03:39, 2月前 , 25F
」,解鎖金鑰 VMK 就會在開機時主動
01/16 03:39, 25F
01/16 03:39, 2月前 , 26F
在主機板電路上跑,鑑識團隊能修復硬
01/16 03:39, 26F
01/16 03:39, 2月前 , 27F
體特徵,或是透過 Sniffing,鑰匙是
01/16 03:39, 27F
01/16 03:39, 2月前 , 28F
會自己吐出來的。
01/16 03:39, 28F
01/16 03:45, 2月前 , 29F
這是否表示只要能接觸到電腦則BL形同虛設
01/16 03:45, 29F
01/16 03:47, 2月前 , 30F
為防範從LPC/SPI側錄所以才有fTPM的做法
01/16 03:47, 30F
01/16 03:53, 2月前 , 31F
未來加解密會跟手機一樣用專門的硬體做
01/16 03:53, 31F
01/16 03:53, 2月前 , 32F
那就真的死定了
01/16 03:53, 32F
01/16 03:56, 2月前 , 33F
原po說了破解的假設是“假設使用者沒
01/16 03:56, 33F
01/16 03:56, 2月前 , 34F
有啟用 TPM PIN 或外部啟動金鑰”
01/16 03:56, 34F
01/16 03:56, 2月前 , 35F
。你把PIN碼跟USB金鑰設定並保護好,
01/16 03:56, 35F
01/16 03:56, 2月前 , 36F
不要把recovery key備份到雲端。只要
01/16 03:56, 36F
01/16 03:56, 2月前 , 37F
你不是偷了核彈,那就不會有足夠的資
01/16 03:56, 37F
01/16 03:56, 2月前 , 38F
源來破解你的秘密了。
01/16 03:56, 38F
01/16 04:31, 2月前 , 39F
Apple那邊就沒有幫忙解鎖平板的樣子
01/16 04:31, 39F
還有 24 則推文
01/16 09:31, 2月前 , 64F
還是微軟會強制保留這組金鑰
01/16 09:31, 64F
01/16 09:35, 2月前 , 65F
可以刪,不過平常不會進那個網頁
01/16 09:35, 65F
01/16 09:35, 2月前 , 66F
你不會想起來要刪
01/16 09:35, 66F
01/16 09:39, 2月前 , 67F
另外微軟只備份系統碟的,資料碟不能
01/16 09:39, 67F
01/16 09:39, 2月前 , 68F
上傳
01/16 09:39, 68F
01/16 09:45, 2月前 , 69F
連著兩篇有料文 真好看 你會發文多發點~~
01/16 09:45, 69F
01/16 09:58, 2月前 , 70F
這篇很精彩。
01/16 09:58, 70F
01/16 10:02, 2月前 , 71F
3Q
01/16 10:02, 71F
01/16 10:12, 2月前 , 72F
好文,推
01/16 10:12, 72F
01/16 10:18, 2月前 , 73F
我猜是yoyodiy 幫破的
01/16 10:18, 73F
01/16 10:40, 2月前 , 74F
會這樣做 正是因為"不想面對沒有機會的
01/16 10:40, 74F
01/16 10:40, 2月前 , 75F
bitlocker" 資料加密在PC上進度一直最慢
01/16 10:40, 75F
01/16 10:41, 2月前 , 76F
跑在最前面的一直都是遊樂器和移動裝置
01/16 10:41, 76F
01/16 10:43, 2月前 , 77F
的開程流程... 而且Windows為了能在比較
01/16 10:43, 77F
01/16 10:43, 2月前 , 78F
舊的硬體上跑 有加強預設很可能也不會用
01/16 10:43, 78F
01/16 10:56, 2月前 , 79F
微軟備份是自動啟動的,沒去刪很正常
01/16 10:56, 79F
01/16 10:57, 2月前 , 80F
理論上無後門情況,你有設個6位PIN碼
01/16 10:57, 80F
01/16 10:57, 2月前 , 81F
把微軟雲端的復原碼刪掉
01/16 10:57, 81F
01/16 10:57, 2月前 , 82F
應該就是無法被破解的
01/16 10:57, 82F
01/16 10:58, 2月前 , 83F
但這只是理論啦,顆顆顆顆顆
01/16 10:58, 83F
01/16 11:00, 2月前 , 84F
實務上只要不是機房被人物理接觸,我看過
01/16 11:00, 84F
01/16 11:01, 2月前 , 85F
99%的狀況都是用戶做傻事被人Sniffing
01/16 11:01, 85F
01/16 11:39, 2月前 , 86F
加密沒用的意思。這樣想比較快
01/16 11:39, 86F
01/16 12:04, 2月前 , 87F
加密沒用?那是因為只用預設的 1FA(
01/16 12:04, 87F
01/16 12:04, 2月前 , 88F
純 TPM),只要硬體驗證,鑰匙就自動
01/16 12:04, 88F
01/16 12:04, 2月前 , 89F
釋放。那製造商就可以透過硬體維修手
01/16 12:04, 89F
01/16 12:04, 2月前 , 90F
段破解
01/16 12:04, 90F
01/16 12:25, 2月前 , 91F
照樓樓上的說法所謂有用的加密就是所有人
01/16 12:25, 91F
01/16 12:25, 2月前 , 92F
包含使用者自己都解不開的
01/16 12:25, 92F
01/16 12:33, 2月前 , 93F
只是救照片對一般人而言非常難 連請救
01/16 12:33, 93F
01/16 12:33, 2月前 , 94F
援都很難
01/16 12:33, 94F
01/16 12:34, 2月前 , 95F
但真的高價值的像企業機的筆電又防不住
01/16 12:34, 95F
01/16 12:34, 2月前 , 96F
機密
01/16 12:34, 96F
01/16 14:09, 2月前 , 97F
意思是把CPU跟硬碟移植到讓TPM同意解鎖硬
01/16 14:09, 97F
01/16 14:09, 2月前 , 98F
碟的環境嗎?解鎖之後怎麼把資料拿出來?
01/16 14:09, 98F
01/16 14:10, 2月前 , 99F
當然是SSD一開始能讀取才有後續動作
01/16 14:10, 99F
01/16 14:11, 2月前 , 100F
若是一開始整台燒熔那就沒機會了。
01/16 14:11, 100F
01/17 02:48, 2月前 , 101F
解鎖平板被監視器拍到 推測電腦密碼一樣
01/17 02:48, 101F
01/17 11:37, 2月前 , 102F
推資訊解說
01/17 11:37, 102F
01/17 15:29, 2月前 , 103F
MS不可能為這一小案子毀自己商譽
01/17 15:29, 103F
更多 s25g5d4 的文章
文章代碼(AID): #1fQIeGZ- (PC_Shopping)
PC_Shopping 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 s25g5d4 的文章
文章代碼(AID): #1fQIeGZ- (PC_Shopping)