Menu

Funkcjonariusz: platforma open source do szybkiej eksfiltracji danych z komputerów, serwerów, telefonów, tabletów, aparatów cyfrowych i innych urządzeń USB.

kontakt@funkcjonariusz.com

1. Zbyt stary sprzęt

Komputer tak stary, że jego BIOS jeszcze nie wspiera rozruchu z urządzeń USB.

Przykład: Sony Vaio PCG-7V1M / VGN-FE48M (Core 2 T5500).

Rozwiązanie: z dużym prawdopodobieństwem możesz założyć, że na tak przestarzałym sprzęcie nie działa żadna centralnie zarządzana aplikacja ochronna typu SIEM, którą mógłbyś niechcący zaalarmować. Prawie na pewno możesz więc kopiować co chcesz bezpośrednio z poziomu Windows. Możesz też wymontować dysk twardy i podłączyć go do innego komputera, albo do Funkcjonariusza Mobilnego.

2. Rozruch z urządzeń USB zablokowany na poziomie BIOS/UEFI + założone hasło BIOS/UEFI

Możesz spróbować otworzyć taki komputer, po czym znaleźć na płycie głównej baterię i ją odłączyć. Niestety na dużej części nowszych komputerów, to zresetuje tylko zegar i niektóre ustawienia podczas, gdy hasła są trzymane w pamięci nieulotnej flash.

Pamiętaj też, że po takim resecie prawdopodobnie nie będziesz w stanie przywrócić wszystkich ustawień do pierwotnej wartości, więc traktuj jego możliwość jako ostatnią szansę. Wcześniej spróbuj wymontować dysk twardy i podłączyć go do innego komputera, albo do Funkcjonariusza Mobilnego.

3. Rozruch z urządzeń USB zablokowany na poziomie procesora

Nowsze modele Microsoft Surface (np. Surface Pro X for Business), czy niektóre modele biznesowe Lenovo, obsługują konfigurację secured-core PC, która chroni komputer przed rozruchem czegokolwiek poza preinstalowanym Windows 10. Mechanizm ten nazywa się Trust Boot.

Kolejny mechanizm, zwany Kernel DMA Protection, chroni Windows przed podłączaniem dysków w standardzie M.2 (bezpośrednio lub przez USB), które nie obsługują funkcji DMA Remapping. Dyski takie zostaną uruchomione po podłączeniu dopiero gdy jakiś użytkownik się lokalnie zaloguje.

Więcej szczegółów technicznych tutaj.

Na tą chwilę nie ma na to żadnej metody obejścia. Jeśli chciałbyś przyczynić się do jej znalezienia, możesz podarować lub wypożyczyć nam któryś z podanych wyżej modeli (może być używany), abyśmy mogli go rozpracować. Szczegóły znajdziesz na tej stronie.

4. Porty USB fizycznie uszkodzone lub zablokowane

Zobacz tą stronę.

5. Windows 10 edycja Home z TPM 2.0 i dyskiem twardym utkniętym w stanie "drive encryption suspended", brak możliwości pobrania klucza odzyskiwania

Zobacz tą stronę.