360建站平台国际1688网站

360建站平台,国际1688网站,个人网页设计作品 html模版,硬件开发能力介绍 继上一篇文章Bitlocker密钥提取之深入分析TPM释放密钥VMK过程 之后#xff0c;为了证实#xff0c;当PCR11寄存器的值为0时#xff0c;可以通过TPM命令#xff0c;模拟真实过程#xff0c;从TPM芯片中解封#xff08;Unseal#xff09;并释放出VMK密钥…介绍继上一篇文章Bitlocker密钥提取之深入分析TPM释放密钥VMK过程 之后为了证实当PCR11寄存器的值为0时可以通过TPM命令模拟真实过程从TPM芯片中解封Unseal并释放出VMK密钥从而离线解锁Bitlocker TPM加密的磁盘。本次试验环境依然采用前一个文章中的调试环境即IDAGDBVMware虚拟机的方式通过在系统启动过程中动态修改系统启动流程和内存数据绕过bootmgfw.efi和winload.edi对PCR11的扩展即保持PCR11寄存器的值始终是它的初始值0。绕过流程首先定位EFI固件中函数EfiTreeSubmitCommand的地址得到该函数在内存中的偏移地址具体的分析方法参见前文这里不再赘述。接着便是对该函数EfiTreeSubmitCommand的地址下断点然后启动虚拟机系统。假设我们没有系统的登录密码等口令无法解锁登录目标系统虚拟磁盘和内存文件都是加密的无法绕过无法获取有用数据。因此备选方案是启动到目标系统的恢复模式下。通过强关2次系统再次启动时就自动进入Windows恢复模式。经过观察分析前三次的断点中断是对固件、证书、bootmgfw.efi文件的完整性检验并扩展到对应的PCR寄存器中不会扩展改变PCR11寄存器的初始值这些并不影响接下来的实验所以可以忽略前三次的断点中断即按F9继续系统的启动。接下来会有2次的断点命中。第一次是bootmgfw.efi对PCR11的扩展修改。该模块计算10 00 00 00这4个字节的SHA256哈希值扩展到PCR11上。第二次是winload.efi对PCR11的扩展修改该模块计算FF FF 00 00这4个字节的SHA256哈希值扩展到PCR11上。通常每个TPM Bitlocker加密的Windows系统PCR11扩展后最终的SHA256的值都是相同的如下值可以通过系统自带的TpmTool命令查看该值接下来查看2次中第1次的命中如下图所示此时查看R8寄存器指向的内存地址中的值正是10 00 00 00R9寄存器存储字节长度即4字节。修改此时的CPU寄存器值即修改RIP, RSP, RAX从而实现跳过函数EfiTreeSubmitCommand的执行绕过bootmgfw.efi对PCR11的扩展修改寄存器修改如下RIP [RSP] ; 直接执行下一条指令RSP RSP 0x08 ; 栈中弹出一个值保持堆栈平衡RAX 0x00 ; 设置函数返回结果0代表成功修改后截图如下接下按F9继续执行直到第2次命中断点如下图所示此时R8寄存器指向的内存地址处的值为FF FF 00 00正如上文所说winload.efi中计算这4个字节的SHA256扩招到PCR11上。用同样的方式修改CPU寄存器的值绕过函数EfiTreeSubmitCommand的执行修改后同样的按F9继续执行系统将启动到Windows的恢复模式。选择“疑难解答” - “高级选项” - “命令行提示符”进入命令行操作窗口中间跳过恢复密钥输入窗口。通过工具可以打印此时的PCR值如下图示查看PCR11 SHA256哈希值为0红框所指说明对PCR11扩展修改绕过成功。并且磁盘仍然处于锁定状态无法访问系统盘数据。系统盘Bitlocker加密状态如下图所示显示加密磁盘尚未解锁编码实现TPM解封工具接下来就是编写模拟解封TPM密钥的工具了。本次使用微软开源库框架TSS.MSR支持多种语言对TPM交互指令进行了很好的封装方便开发使用。将写好的工具放在目标系统下恢复模式执行如下图最终得到熟悉的VMK密钥字符串如下b468267d6801e284b473f9f2886a5e6ca48c9baa708e5f941b769f6f671eecfd解封用到的相关数据都是可以在解密磁盘的-FVE-FS-元数据中找到分解如下如果PCR11的值不是0被扩招修改则再次解封密钥将无法成功因为PolicyPCR校验无法通过如下复制Raw Response内容到tpmstream查看具体错误描述信息首发地址https://mp.weixin.qq.com/s/_4VFVI210Wz8thOp4-pIuA