案例分享: SafeImager Plus——Windows锁屏密码绕过

近日,浙江某市发生一起邪教类案件,犯罪嫌疑人受过相关组织的专业反侦查训练,具有极强的反取证意识。现场有一台开机但处于锁屏有密码状态下的笔记本电脑需要取证,网警部门对现场环境进行了稳妥的保护,盘石公司在接到技术支援要求后,第一时间组织技术力量赶赴现场。

 

据了解,警方办案人员到达现场时,该笔记本电脑仍在被嫌疑人使用中,办案人员在其关机前成功实施抓捕,但狡猾的嫌疑人在被控制前的一瞬间迅速将笔记本系统切换进入锁屏状态。侦查人员需要输入对应的用户口令(即登录密码)才能登录到系统,否则无法对笔记本进行在线取证。在对嫌疑人讯问过程中,嫌疑人极不配合,拒不提供该登录密码,给案件侦办带来了极大的阻碍。办案人员通过现场其他证据的搜索排查,推断该笔记本电脑会有重要线索,但鉴于嫌疑人的特殊情况,该电脑系统中很可能安装有影子系统、还原精灵或者加密容器等软件,任何一款还原或加密软件都会大幅度增加取证的难度,稍有不慎还会对数据造成不可挽回的损失。因此,办案人员不能轻易关机或断电带走笔记本。如果将笔记本关机或断电,相关缓存数据、进程中的软件数据、密钥等数据都可能存在丢失的可能,相关已经解密的资料也可能都会被加密或还原消失。

 

盘石技术人员到达现场并了解基本案情后,对该笔记本电脑进行查看,最终利用SafeImager Plus盘石计算机现场取证系统加强版中的Windows锁屏密码绕过工具,通过1394口将锁屏密码绕过后进行了在线取证,并提取到了案件的关键线索和证据。

该工具分为USB接口和1394接口两个版本,支持常见的Windows操作系统,如Windows7、Windows8、Windows10等。该工具主要利用Windows系统的“休眠”状态来绕过锁屏密码。如果锁屏状态有“休眠”选项,可直接使用USB接口工具将密码进行清除,成功后即可进入系统。



如果操作系统没有打开休眠功能,可以检查电脑是否有1394或者ExpressCard接口。如果有这种接口,可使用1394接口工具将密码进行清除,成功后即可进入系统。


 

Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部