(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115859378A(43)申请公布日2023.03.28(21)申请号202211687229.8(22)申请日2022.12.27(71)申请人四川效率源信息安全技术股份有限公司地址641000四川省内江市市中区汉渝大道1号(72)发明人梁效宁韩勇许超明张佳强(51)Int.Cl.G06F21/64(2013.01)G06F21/72(2013.01)权利要求书1页说明书3页附图1页(54)发明名称BitLocker加密密钥的内存搜索方法(57)摘要本发明公开了一种BitLocker加密密钥的内存搜索方法，其特征在于，搜索物理内存/物理内存镜像文件中的字符串标志，如果搜索到所述字符串标志，则以所述字符串标志的起始地址作为BitLocker驱动的数据结构在内存中的起始地址，并获取BitLocker驱动的数据结构中的size字段的值，作为BitLocker驱动的数据结构的字节长度，根据所述起始地址及所述字节长度，读取BitLocker驱动的数据结构；设置所述起始地址为第一读取地址，以当前第一读取地址作为首地址，顺序读取32字节的内容，采用用扩展算法获得32字节的轮密钥，将轮密钥与当前所读取的32字节的内容按位比较，如果相等，则输出当前所读取的32字节的内容，作为BitLocker加密密钥，如果不相等，当前第一读取地址+1后，重复顺序读取32字节的内容。CN115859378ACN115859378A权利要求书1/1页1.一种BitLocker加密密钥的内存搜索方法，其特征在于，包括以下步骤：S100：搜索物理内存/物理内存镜像文件中的字符串标志，用以确定BitLocker驱动的数据结构在内存中的起始地址；S200：判断是否搜索到所述字符串标志，如果是，执行步骤S300，否则，结束流程；S300：所述字符串标志的起始地址作为BitLocker驱动的数据结构在内存中的起始地址；获取BitLocker驱动的数据结构中的size字段的值，作为BitLocker驱动的数据结构的字节长度，根据所述起始地址及所述字节长度，读取BitLocker驱动的数据结构；S400：设置所述起始地址为第一读取地址；S500：以当前第一读取地址作为首地址，顺序读取32字节的内容，采用用扩展算法扩展当前所读取的32字节的内容，用以获取15个轮密钥；S600：将所述15个轮密钥中第一、第二个轮密钥顺序拼接，获得32字节的拼接后的轮密钥；S700：将拼接后的轮密钥与当前所读取的32字节的内容按位比较，判断是否相等，如果是，执行步骤SA00，否则，执行步骤S800；S800：第一读取地址＝第一读取地址+1；S900：判断第一读取地址是否大于BitLocker驱动的数据结构在内存中的结束地址减32的差，如果是，结束流程，否则，执行步骤S500；SA00：输出当前所读取的32字节的内容，作为BitLocker加密密钥。2.根据权利要求1所述的一种BitLocker加密密钥的内存搜索方法，其特征在于，所述字符串标志为FVEc或Cngb。3.根据权利要求1所述的一种BitLocker加密密钥的内存搜索方法，其特征在于，获取BitLocker驱动的数据结构中的size字段的值的方法为：读取所述字符串标志之前连续4字节的内容，作为size字段的值。4.根据权利要求1所述的一种BitLocker加密密钥的内存搜索方法，其特征在于，所述扩展算法为AES扩展算法。2CN115859378A说明书1/3页BitLocker加密密钥的内存搜索方法技术领域[0001]本发明属于电子取证及数据恢复领域，涉及一种内存搜索方法的方法，尤其涉及一种BitLocker加密密钥的内存搜索方法。背景技术[0002]WindowsBitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。BitLocker使用TPM(受信任的平台模块)帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。BitLocker还可以在没有TPM的情况下使用。[0003]现有技术中，有一些对Bitlocker进行解密的技术，但存在诸多问题，主要表现在：只支持针对已知明文密码或者恢复密钥或者是启动密钥的方式、一些技术方案可以针对采用TPM加密芯片加密的系统盘进行解密，这些现有技术方案要么技术方案本身较为复杂、要么耗时且效率不高。发明内容[0004]针对现有技术的技术问题，本发明提供了BitLocker加密密钥的内存搜索方法，包括以下步骤：[0005]S100：搜索物理内存/物理内存镜像文件中的字符串标志，用以确定BitLocker驱动的数据结构在内存中的起始地址；[0