Re: [閒聊] 張文的筆電是怎麼破解的

作者Lyeuiechang (誠誠小屁孩)

看板PC_Shopping

標題Re: [閒聊] 張文的筆電是怎麼破解的

時間Thu Jan 15 23:55:30 2026

※ 引述《asdf616gm (微笑)》之銘言： : 新聞說張文的ASUS ROG電腦被破解了 : 說找了美國專家和華碩人員後花兩天就破解了 : 是bitlocker有後門嗎 : 還是有用側信道攻擊之類的 : 有沒有資安專家解答一下 : ----- : 因為我剛看到今天傍晚的新聞也很好奇，所以認真查了一下 Bitlocker 跟 TPM 相關的資訊，來跟大家分享一下找到的資訊： What is BitLocker and BitLocker recovery? https://www.youtube.com/watch?v=iX8QC2pRuYM

How to find your BitLocker recovery key | Microsoft https://www.youtube.com/watch?v=drCo-S4_iNs

https://i.meee.com.tw/Hbh118I.png

* Bitlocker 金鑰到底放在哪？由於 Bitlocker 鎖定的觸發方式是偵測到有人嘗試讀取硬碟，但我們正常開機其實 Bitlocker 都會自動解鎖，一般來說開機時會透過 UEFI 跟電腦上的元件進行雜湊運算，得到的結果可以解密 TPM 的儲存空間，接著會透過訊號把 Bitlocker 金鑰傳輸到 CPU 進行解密。由於 TPM 與 CPU 之間的主板通訊其實是沒有加密，所以確實有人已經透過 Side Channel Attack 的攻擊手法，在主板上面的訊號點位讀取解密的金鑰。可以參考這個影片的介紹： Breaking Bitlocker - Bypassing the Windows Disk Encryption https://www.youtube.com/watch?v=wTl4vEednkQ

使用不到10美元的Raspberry Pi Pico在43秒內就能用外部TPM破解BitLocker加密 https://www.techbang.com/posts/113089-using-a-raspberry-pi-pico-for-less-than-10-bitlocker 另外有一點違反大家常理認知的一點是，雖然 Bitlocker 金鑰確實存放在 TPM 晶片上，但其實那只是一個 copy，真正的金鑰其實是放在被加密的硬碟開始位置： https://i.meee.com.tw/y4GWzN0.png

https://i.meee.com.tw/IOW1fJD.png

* 有沒有方法可以直接從硬碟取得 Bitlocker 金鑰？由於硬碟本身其實存在 Bitlocker 解密金鑰的特性，這也使得在 2021 年底有一個被披露的 CVE 漏洞 CVE-2022-41099 得以實現，大體上來說就是因為硬碟上修復磁區的 WinRE 可以操作重裝系統的功能的功能，而不會事先詢問 Bitlocker 解密金鑰，所以可以透過還原電腦的過程中， Bitlocker 開始解密硬碟時切掉電源中斷操作，復電之後安裝程式會繼續執行，這個時候透過操作提示命令暫停解密，這個時候就能透過其他指令得知 Bitlocker 的解密金鑰。 https://i.meee.com.tw/sgjEEPB.png

https://i.meee.com.tw/OroP3HP.png

關於技術細節可以參考： A Deep Dive into TPM-based BitLocker Drive Encryption https://itm4n.github.io/tpm-based-bitlocker/ CVE-2022-41099 – Analysis of a BitLocker Drive Encryption Bypass https://blog.scrt.ch/2023/08/14/cve-2022-41099-analysis-of-a-bitlocker-drive-encryption-bypass/ 這個方法僅適用於有獨立修復磁區且使用 TPM 進行 Bitlocker 加密的模式，恰好也是預設 Windows 會在新電腦上，以及預裝出廠的設定方式。在微軟官方的 CVE 漏洞說明頁中，列出了受影響產品與相關細節： https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41099 基本上只要使用 2021年底前的 Windows 映像版本前都有影響，且官方提供的修復腳本需要使用者手動對 WinRE 的修復磁碟區進行更新，看起來是無法透過 Windows Update 進行修復，目前修復的方式也是在使用還原系統的時候要求輸入 Bitlocker 解密金鑰後才能繼續。但因為這個問題可能企業會比較在意，所以目前網路上的資訊主要集中在 IT 討論區。 * 個人猜測這次的解密方式？說回這次的社會重大案件是如何繞過 Bitlocker 加密的，按照目前新聞採訪內容，就我的猜測可能有幾種方式： 1. 華碩透過 BIOS 或者 TPM 搬移工具(如果有)與使用相同區間量產的電腦，來讓雜湊運算結果能夠讓 TPM 先進行解密後讓硬碟自動解密正常開機。 2. 使用 CVE 漏洞直接取得 Bitlocker 解密金鑰後手動解鎖硬碟考慮到新聞中提到還特地找了相同型號與量產區間的電腦，估計是使用了第一個方法。另外有新聞提到有請三星硬碟的工程師來台協助，推測有可能是在不要破壞證物的情況下對加密硬碟進行對烤備份，這樣操作上面的方法比較不會把證物破壞掉(畢竟還原系統如果手慢就通通沒了)。但這些都屬於個人猜測，如果雷同純屬巧合。以上，另外有提到錯誤的部分還請各位大神指正。 ^_____^ --

推 Lyeuiechang: [新聞]有狼師一直戳女學森(.)(.)而被家長吉上法院...12/04 23:42

→ Xhocer: ) (12/04 23:44

推 xj654m3: ( Ｙ )12/04 23:46

→ Xhocer: \｜/12/04 23:48

推 xj654m3: (╮⊙▽⊙)ﾉ|｜|12/05 00:47

推 Lyeuiechang: /｜\╰╮o(￣▽￣///)<12/05 01:17

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.10.238.116 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1768492536.A.614.html

推 mofass: 專業推，感覺有點像以前遊戲主機盜版光碟111.250.109.220 01/16 00:03

→ mofass: 躲正版驗證的用法？111.250.109.220 01/16 00:03

酒精 120% SafeDisk ><

推 NX9999: 推推，難怪可以用usb來解除一開始進桌面 111.83.88.114 01/16 00:04

→ NX9999: 的使用者密碼消除 111.83.88.114 01/16 00:04

推 xiaotee: 推認真解答XD 1.174.188.253 01/16 00:07

※ 編輯: Lyeuiechang (101.10.238.116 臺灣), 01/16/2026 00:09:06

推 athraugh: 專業推 61.230.91.35 01/16 00:08

推 jhjhs33504: 外部TPM實作在BIOS的也算嗎？ 36.228.11.7 01/16 00:11

→ kimi112136: 其實新聞寫是沒有解開電腦版上的硬碟 114.24.209.42 01/16 00:24

→ kimi112136: 資料，是因為某人的平板沒有更新，所 114.24.209.42 01/16 00:24

→ kimi112136: 以三爽自己root後連上網路硬碟拿到20 114.24.209.42 01/16 00:24

→ kimi112136: 24年的資料 114.24.209.42 01/16 00:24

→ freeunixer: 新聞說了,公開的鏡頭錄到他解鎖的片段 60.250.90.238 01/16 00:27

→ freeunixer: 針對那個畫面去技術處理獲得解鎖密碼 60.250.90.238 01/16 00:28

→ w3160828: 錄到的不是平板? 靠平板帳號去登入? 36.237.214.165 01/16 00:28

補一下新聞內容好了，今天有一些新資訊獨家｜張文關鍵電競筆電硬碟破解了！華碩聯手三星神救援　iPad密碼這樣解 https://www.knews.com.tw/news/2C616C5338A4437D5564FB2AF2CD91CB 專案小組向《知新聞》透露，「BitLocker」數位加密無法破解，但華碩專家曾表示，想要獲取硬碟資料應該有辦法，最後是華碩將2T SSD固態硬碟製造廠商，也就是三星原廠工程師，從韓國飛來台灣協助破解，最後是華碩找來跟張文購得相同出產年月、型號、批號的ROG Strix SCAR 18 G834電競筆電，再將2T的SSD固態硬碟裝上去，利用華碩原廠權限，繞過「BitLocker」輸入指令，直接抓取硬碟資料。 ※ 編輯: Lyeuiechang (101.10.238.116 臺灣), 01/16/2026 00:29:48

→ w3160828: 結論去買啟動筆電的話說不定沒辦法破解 36.237.214.165 01/16 00:31

推 jeeyi345: 所以bitlocker有同批筆電就能繞過了? 114.41.214.184 01/16 00:33

推 jhjhs33504: 原廠的權限先把燒壞的部分排除再解開 36.228.11.7 01/16 00:34

→ w3160828: 好聽是同批就原廠權限繞過去判定 36.237.214.165 01/16 00:35

推 jeeyi345: 那要看原廠權限會不會外流或被破解了 114.41.214.184 01/16 00:37

推 DuFanSong: 我也覺得同批是藉口原廠權限才是真111.254.252.143 01/16 00:38

→ jeeyi345: 錄影解鎖猜到感覺就是編故事 114.41.214.184 01/16 00:38

→ justice2008: 平板可以登進去跟破解筆電有何關係? 114.32.14.43 01/16 00:39

→ freeunixer: 是破平板,沒破筆電 60.250.90.238 01/16 00:40

→ freeunixer: 三星平板,說沒更新韌體,就繞過去 (~誤 60.250.90.238 01/16 00:41

→ gcobc12632: 用監視器破解iPad密碼也是滿厲害ㄉ== 211.76.68.181 01/16 00:43

→ freeunixer: 雲碟很久沒更新,所以只看到很舊的文件 60.250.90.238 01/16 00:43

→ jeeyi345: 哦分開破解以為用ipad密碼解開筆電一 114.41.214.184 01/16 00:44

→ jeeyi345: 類 114.41.214.184 01/16 00:44

→ justice2008: 原來又是繞過去那我就能理解了 114.32.14.43 01/16 00:44

→ yunf: yo叔繞過 101.10.85.121 01/16 00:45

推 Koogeal: 就是走後門(漏洞),補起來就沒轍了 59.115.57.189 01/16 00:48

推 Ruhaha: 看不懂但推一個 49.159.5.4 01/16 00:49

推 jeeyi345: 找得到同批如果有原廠的方法 bitlocke 114.41.214.184 01/16 00:50

→ jeeyi345: r等於沒有 114.41.214.184 01/16 00:50

→ freeunixer: 我好像說錯了,新聞說平板是錄到畫面 60.250.90.238 01/16 00:54

→ freeunixer: 筆電是找同批號的機器裝上三星ssd, 60.250.90.238 01/16 00:54

→ freeunixer: 然後用華碩權限繞過 bitlock 解鎖 60.250.90.238 01/16 00:55

→ freeunixer: 會不會華碩拿同批號的主板用換零件的. 60.250.90.238 01/16 00:56

推 ctes940008: 那篇新聞有寫，SSD可以讀，但主板壞 36.237.108.197 01/16 01:19

→ jay920314: 幹所以這個東西純擾民，在正經場合還是 1.172.70.25 01/16 01:41

→ jay920314: 不堪一擊這樣？ 1.172.70.25 01/16 01:41

推 luuuking: 推分析，我猜三星除了備份證物 101.8.142.165 01/16 02:07

→ luuuking: 可能也有幫忙繞過邏輯層，直接從顆粒撈 101.8.142.165 01/16 02:07

→ luuuking: 被刪掉的資料吧 101.8.142.165 01/16 02:07

推 birdy590: 說穿了就搬板... 這應該不是 SED 119.14.20.145 01/16 02:13

→ birdy590: 所以根本沒必要找三星來了也派不上用場 119.14.20.145 01/16 02:13

→ birdy590: 搬了板系統認為還是原本的機器就給金鑰 119.14.20.145 01/16 02:13

→ birdy590: 系統能開機==韌體提供了金鑰 119.14.20.145 01/16 02:14

推 BlackCoal: 推推 218.173.226.29 01/16 06:22

推 romber: 打個比方，加密硬碟像是一個巨大的rar， 119.14.19.154 01/16 06:54

→ romber: 解壓密碼存在另一個小rar(TPM)，你要解開 119.14.19.154 01/16 06:54

→ romber: 大rar就得先解開小rar取得密碼。而小rar 119.14.19.154 01/16 06:54

→ romber: 的密碼是由「一套」密碼組合的，由好幾個 119.14.19.154 01/16 06:54

→ romber: 人(電腦原廠、硬體原廠、系統)分別持有， 119.14.19.154 01/16 06:54

→ romber: 所以你要解開，就得要有這些廠商幫忙。 119.14.19.154 01/16 06:54

推 GTAAK47s: 推，當下看到新聞也是想到第一種方法223.139.118.163 01/16 08:38

推 MK47: 推有料認真解答 36.235.232.91 01/16 09:43

→ catboost: 欠桶洗文 114.136.143.93 01/16 09:47

推 cavaliersin: 優質好文學習了 122.147.1.80 01/16 10:08

推 ATND: 推 27.247.192.88 01/16 10:45

→ shryuhuai: 原廠權限大概就是會自動用某個預設密碼220.130.142.210 01/16 10:49

→ shryuhuai: 來加密bitlocker的金鑰備份起來220.130.142.210 01/16 10:49

→ shryuhuai: 你的電腦除了自己的密碼還有隱藏復原碼220.130.142.210 01/16 10:50

→ shryuhuai: 幹這就不是原廠的後門嗎220.130.142.210 01/16 10:50

→ shryuhuai: 小rar理論上應是只能用使用者密碼解開220.130.142.210 01/16 10:51

推 amge1524: 有遇過就知道警察跟記者會唬爛亂放消息 118.163.84.211 01/16 10:53

→ amge1524: ，所以新聞看看就好 118.163.84.211 01/16 10:53

推 zhandy35: 謝謝分享 106.107.219.3 01/16 11:47

推 AISC: 結論 bitlocker資料無法保護搞使用者而已 27.242.70.68 01/16 13:11

推 w1222067: 長知識 36.233.81.145 01/16 13:25

推 rightbear: 推這篇，感謝分析 49.216.166.78 01/16 14:46

推 ragwing: 專業推，我大PTT臥虎藏龍啊 114.45.132.104 01/16 15:12

推 lucas8299: 原來是這樣有料 49.216.131.74 01/16 16:22

→ romber: 不是，小rar的密碼是很多段密碼組合而成 119.14.19.154 01/16 18:30

→ romber: ，電腦原廠只能控制其中一部分。 119.14.19.154 01/16 18:30

→ romber: 這套密碼其實是包含硬碟序號、韌體、原廠 119.14.19.154 01/16 18:33

→ romber: 自訂的key等資訊構成的，且每個型號規則 119.14.19.154 01/16 18:33

→ romber: 不太一樣。因此原電腦損壞，要拿到TPM裡 119.14.19.154 01/16 18:33

→ romber: 的硬碟密碼，就需要跟加密時幾乎完全一樣 119.14.19.154 01/16 18:33

→ romber: 的硬體環境，所以同一批次電腦是最好。然 119.14.19.154 01/16 18:33

→ romber: 而即使同型號零件也有不同韌體跟序號，如 119.14.19.154 01/16 18:33

→ romber: 果有被要騙過TPM，就需要零件原廠幫忙複 119.14.19.154 01/16 18:33

→ romber: 製 119.14.19.154 01/16 18:33

推 NDSL: 酷 42.77.166.243 01/16 19:08

推 inte629l: 推，CVE卡住解密狀態也太酷... 118.167.74.65 01/16 22:00

💻 電蝦 PC_Shopping 版：熱門文章

💻 電蝦 PC_Shopping 版：更多文章