取證實戰分享:從Surface取證說起

在某部委單位處協助辦案時，碰到了一個微軟的Surface RT平板，案件要求對該設備做硬碟鏡像。幾經周折後，最終把該設備的硬碟鏡像完整固定了下來。因感覺該設備較少碰到，並且一般沒有現成的鏡像工具，所以在這裡把當時證據固定的大致情況分享出來。

Surface RT是微軟2012年下半年推出的第一代平板設備，ARM架構，Windows RT作業系統。

Windows RT是微軟在Windows 8的基礎上，專門為ARM架構開發的作業系統，也叫Windows on ARM或WOA。其功能與Windows 8基本是一樣的，只是微軟故意設置了障礙讓Windows RT不能兼容桌面應用。打個比方，Windows RT就像是Windows 8的妝後版，兩者骨子裡是相同的，只是微軟使用代碼完整性檢查機制（Code Integrity Mechanism）人為地將這兩個平臺區分開來。

二、難點解析

這樣一來，Windows RT就無法兼容x86/x64軟體，即Windows RT環境下無法運行以往在PC上使用的一些軟體，無法運行傳統Windows應用程式。說直白一點就是：原來可以用的取證程序、鏡像工具在Windows RT系統上統統都無法運行。

那麼，能否通過取證引導盤引導Surface RT製作鏡像呢？由於Surface RT默認啟用了SecureBoot，所以沒有經過電子籤名的取證引導盤無法引導Surface RT。雖然可以通過禁用SecureBoot來實現引導，但因為Surface系列設備都默認開啟了BitLocker加密，一旦禁用SecureBoot，系統引導過程中會要求輸入BitLocker恢復密鑰，所以這個方法行不通。

或許有人問：是否可以把硬碟拆下來直接作鏡像？答案是否定的。Surface RT的存儲部分以晶片形式焊接在主板上。下圖橙色方框內的晶片即是用作存儲的三星NAND晶片：

而且，即使能通過拆晶片的方式完成存儲晶片鏡像，最後在鏡像解析環節依然會碰壁。原因如下：

首先，Surface全系列設備都內置了TPM安全晶片，用來保護設備、系統安全。

TPM全稱Trusted Platform Module，即可信平臺模塊，TPM晶片是指符合TPM（可信賴平臺模塊）標準的安全晶片，它能有效地保護PC、防止非法用戶訪問。Surface RT採用的是英飛凌的OPTIGA™ TPM晶片。

其次，Surface設備默認啟用設備加密（Device Encryption）來保護設備數據的安全，無需用戶再額外設置即對系統分區進行加密。該功能使用了基於TPM安全晶片的BitLocker加密技術，從而有效防止了對系統密碼的各種破解及密碼繞過。

綜上，難點有三：

1、Windows RT系統上無法運行常用的取證工具；

2、很難找到可引導Surface RT的取證用啟動盤；

3、Surface RT默認啟用基於TPM晶片的BitLocker加密，無法製作可解析的全盤鏡像。

三、操作步驟

最終，在參考了國內外相關資料後製作鏡像成功。操作步驟如下：

1、Surface RT只有一個USB2.0接口，為了方便操作，通過USB Hub連接了滑鼠；

2、 修改電源項設置，以防在製作鏡像的過程中嫌疑機進入睡眠模式；

3、 把包含越獄、獲取工具的大容量U盤接入Surface RT設備，並以管理員身份運行「runExploit.bat」文件；

越獄工具下載連結：

https://dl.xda-developers.com/1/7/7/1/9/5/1/RT_Jailbreak-1.20.zip?key=9gvJShbv7M3GBeX6-x2OeQ&ts=1537887015

4、 以管理員身份運行運行「e01_drivec_runme_as_administrator.bat」文件製作C盤的分區鏡像（Surface RT除引導和備份分區外只有C盤），鏡像完成後，進行MD5哈希校驗；

獲取工具下載連結：

http://lockandcode.com/download/acquisition_tools/win32/acquisition_tools.zip

5、 以管理員身份運行運行「e01_physicaldrive0_runme_as_administrator.bat」文件製作全盤鏡像，並備份BitLocker恢復密鑰到外置U盤中以備解密BitLocker加密磁碟；

網絡上有資料說基於TPM晶片的BitLocker磁碟加密鏡像藉助恢復密鑰無法解密，筆者實際測試Surface Pro 1796的結果是可以的。這裡要注意的是：需要先確認能否備份到BitLocker密鑰，如果不顯示密鑰備份項的話可以通過設置更改。

基於ARM架構的Windows RT系統現在比較少見了，但除了微軟的Surface RT外也還有一些，像華碩的VivoTab RT、戴爾的XPS 10、聯想的Idea-Pad Yoga 11、三星的ATIV Tab等等，希望讀者在碰到這些偏門的設備時這篇小文能起到一個參考的作用。

本文屬於事後總結，因此借用了網絡資料的部分英文截圖，各部分可對照中文版Windows RT進行參考。

「盤古石」團隊是奇安信科技集團股份有限公司旗下專注於電子數據取證技術研發的團隊，由來自國內最早從事電子數據取證的成員組成。盤古石團隊以「安全為先，洞鑑未來」為使命，以「漏洞思維」解決電子數據取證難題，以「數據驅動安全」為技術思想，以安全賦能取證，研發新一代電子數據取證產品，產品涵蓋計算機取證、移動終端取證、網絡空間取證、IoT取證、取證數據分析平臺等電子數據取證全領域產品和解決方案，為包括公安執法、黨政機關、司法機關以及行政執法部門等提供全面專業的支持與服務。