Windows 10 专业版和 Windows 11 专业版等高端版本配备了存储加密功能“BitLocker”，即使 PC 被攻击者拆走了存储设备（如硬盘），也可以防止信息被查看。但安全 YouTuber stacksmashing 在视频《Breaking Bitlocker - Bypassing the Windows Disk Encryption – YouTube》中介绍了一种可以快速获取用来解密BitLocker的恢复密钥的设备。

下面是破解操作过程演示是一台采用 BitLocker 存储加密的联想笔记本电脑。

Stacksmashing开始取下笔记本电脑的后盖。

取下盖子后，将恢复密钥破解设备靠在主板上的引脚上。

当将破解设备插入引脚上时，瞬间读取了BitLocker恢复密钥。 从开始拆卸笔记本电脑到拿到BitLocker恢复密钥只用了 42.9 秒。

◆ 获取BitLocker恢复密钥的原理如下：联想笔记本电脑搭载了被称为“TPM”的安全芯片。

在TPM中，BitLocker的恢复密钥以加密状态保存。TPM在系统启动时确认硬件的正常后，将恢复密钥解密并发送给CPU，但TPM和CPU之间的通信没有加密。stacksmashing注意到这一点后，设计了通过分析LPC总线的通信来截获恢复密钥的方法。

由于联想笔记本电脑的电路板上有一个用于测试的连接器，于是在连接器上连接了一个电极。

通过分析通信内容，我们成功捕获了恢复密钥。

在上述方法中，需要“将电极连接到连接器”和“分析通信内容并推导出恢复密钥”。 为了简化这些操作，stacksmashing用树莓派（Raspberry Pi Pico）设计了一种带有连接器的设备来处理通信内容。

完成的设备的外观如下所示。 该设备的名称是“Pico TPM Sniffer”，总成本约为 10 美元。

另一边是树莓派（Raspberry Pi Pico）。

它还配备了连接器，为您省去了连接电极的麻烦。

通过使用Pico TPM Sniffer，实现了文章开头的“42.9秒获取BitLocker恢复密钥”的操作。

获取BitLocker恢复密钥后，您所要做的就是提取存储设备，将其连接到另一台计算机，然后使用BitLocker恢复密钥对其进行解密。

stacksmashing 实际上已经成功地解密了使用 BitLocker 加密的存储设备。

另外，近年来的CPU大多内置TPM，像这次测试中使用的联想笔记本电脑那样搭载专用TPM芯片的笔记本电脑正在减少。尽管如此，在某些模型中，依然可以用同样的方法获取BitLocker恢复密钥。

stacksmashing 在以下链接中发布了 Pico TPM Sniffer的设计蓝图。

GitHub-stacksmashing/pico-tpmsniffer:Asimple，very experimental TPM sniffer for LPC bus

https://github.com/stacksmashing/pico-tpmsniffer